{"id":25234,"date":"2021-08-03T13:16:02","date_gmt":"2021-08-03T11:16:02","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25234"},"modified":"2021-08-11T16:50:14","modified_gmt":"2021-08-11T14:50:14","slug":"ransomware-group-policies","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ransomware-group-policies\/25234\/","title":{"rendered":"I criteri di gruppo permettono la diffusione di ransomware"},"content":{"rendered":"

La creazione di ransomware \u00e8 diventata un\u2019industria sotterranea<\/a> da ormai qualche tempo, con servizi di assistenza tecnica, servizi di centri stampa e campagne pubblicitarie. Come per qualsiasi altro settore, creare un prodotto competitivo richiede un miglioramento continuo. LockBit, per esempio, \u00e8 l\u2019ultimo di una serie di gruppi di criminali informatici che pubblicizzano la capacit\u00e0 di automatizzare l\u2019infezione dei computer locali attraverso un controller di dominio.<\/p>\n

LockBit segue il modello Ransomware as a Service (RaaS), fornendo ai suoi clienti (i cybercriminali) l\u2019infrastruttura e il malware, e ricevendo una quota del riscatto. Irrompere nella rete della vittima \u00e8 responsabilit\u00e0 di chi acquista il servizio e, per quanto riguarda la distribuzione del ransomware attraverso la rete, LockBit ha progettato una tecnologia abbastanza interessante.<\/p>\n

La distribuzione di LockBit 2.0<\/h2>\n

Da quanto riferisce Bleeping Computer<\/a>, dopo aver ottenuto l\u2019accesso alla rete ad aver raggiunto il controller di dominio, i cybercriminali eseguono il loro malware sullo stesso, creando nuovi criteri di gruppo utenti, che vengono poi automaticamente distribuiti ad ogni dispositivo della rete. I criteri innanzitutto disabilitano la tecnologia di sicurezza integrata nel sistema operativo; altre policy invece, creano una task programmata su tutti i dispositivi Windows per avviare l\u2019eseguibile del ransomware.<\/p>\n

Bleeping Computer menziona il ricercatore Vitali Kremez, secondo il quale il ransomware utilizza l\u2019API di Windows Active Directory per eseguire query LDAP (Lightweight Directory Access Protocol) e ottenere un elenco di computer. LockBit 2.0 quindi bypassa il controllo dell\u2019account utente (UAC) e viene eseguito silenziosamente, senza innescare alcun allarme sul dispositivo cifrato.<\/p>\n

Apparentemente, questo rappresenta la prima diffusione in assoluto di un malware di massa attraverso i criteri di gruppo utenti. Inoltre, LockBit 2.0 consegna le note di riscatto in modo piuttosto bizzarro, facendo passare la nota su tutte le stampanti collegate alla rete.<\/p>\n

Come proteggere la vostra azienda da minacce simili?<\/h2>\n

Tenete a mente che un controller di dominio \u00e8 in realt\u00e0 un server Windows e, come tale, ha bisogno di protezione. Kaspersky Security for Windows Server, che viene offerto con la maggior parte delle nostre soluzioni di sicurezza endpoint per aziende<\/a> e protegge i server su cui si esegue Windows dalla maggior parte delle minacce moderne, dovrebbe far parte del vostro arsenale di difesa.<\/p>\n

Ad ogni modo, il ransomware che si diffonde attraverso i criteri di gruppo rappresenta l\u2019ultima fase di un attacco. L\u2019attivit\u00e0 dannosa dovrebbe diventare evidente molto prima, per esempio quando i criminali informatici entrano per la prima volta nella rete o tentano di hackerare il controller di dominio. Le soluzioni Managed Detection and Response<\/a> sono particolarmente efficaci nel rilevare segnali di questo tipo di attacco.<\/p>\n

L\u2019aspetto pi\u00f9 importante \u00e8 che i cybercriminali spesso usano tecniche di ingegneria sociale ed e-mail di phishing per ottenere l\u2019accesso iniziale. Per evitare che i vostri dipendenti cadano in questi trucchi, fate s\u00ec che abbiano una maggiore consapevolezza della sicurezza informatica<\/a> mediante la frequentazione di formazioni periodiche.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Il ransomware LockBit 2.0 pu\u00f2 diffondersi in una rete locale attraverso i criteri di gruppo creati su un controller di dominio hackerato.<\/p>\n","protected":false},"author":2581,"featured_media":25236,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[3555,635],"class_list":{"0":"post-25234","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-controller-di-dominio","11":"tag-ransomware"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ransomware-group-policies\/25234\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ransomware-group-policies\/23123\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ransomware-group-policies\/18605\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ransomware-group-policies\/9294\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ransomware-group-policies\/25107\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ransomware-group-policies\/23122\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomware-group-policies\/22466\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ransomware-group-policies\/25745\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-group-policies\/31178\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-group-policies\/9888\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-group-policies\/40877\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ransomware-group-policies\/17409\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-group-policies\/17873\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ransomware-group-policies\/15096\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ransomware-group-policies\/27141\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ransomware-group-policies\/31314\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ransomware-group-policies\/27355\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ransomware-group-policies\/24164\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-group-policies\/29500\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-group-policies\/29305\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25234","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=25234"}],"version-history":[{"count":11,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25234\/revisions"}],"predecessor-version":[{"id":25309,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25234\/revisions\/25309"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/25236"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=25234"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=25234"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=25234"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}