{"id":25388,"date":"2021-08-26T13:40:26","date_gmt":"2021-08-26T11:40:26","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25388"},"modified":"2021-08-26T13:41:09","modified_gmt":"2021-08-26T11:41:09","slug":"please-install-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/please-install-ransomware\/25388\/","title":{"rendered":"Cifrare i server aziendali: una proposta indecente"},"content":{"rendered":"

Quando un ransomware entra in una rete aziendale, di solito lo fa attraverso un\u2019e-mail, oppure sfruttando le vulnerabilit\u00e0 di un software o grazie a delle connessioni remote non protette adeguatamente. Avere un insider che distribuisce di proposito un malware sembra poco plausibile. Tuttavia, come dimostrano le prove dal mondo reale<\/a>, i criminali informatici ritengono che questo metodo di distribuzione del ransomware sia efficace, e alcuni stanno reclutando i dipendenti delle aziende offrendo loro una percentuale del riscatto.<\/p>\n

Un sistema di diffusione creativo<\/h2>\n

Per quanto assurdo possa sembrare, alcuni cybercriminali cercano complici attraverso lo spam. Per esempio, un messaggio offre esplicitamente \u201cIl 40%, di 1 milione di dollari in bitcoin\u201d a chiunque voglia installare e distribuire il ransomware DemonWare sul server Windows principale dell\u2019azienda per cui lavorano.<\/p>\n

I nostri ricercatori, che si sono finti dei probabili complici interessati, hanno ricevuto un link a un file insieme a delle istruzioni per lanciare il malware. Tuttavia, la persona responsabile dell\u2019invio era apparentemente un criminale informatico inesperto; i ricercatori non hanno avuto problemi a farlo parlare. L\u2019autore della minaccia in questione era un giovane nigeriano che aveva setacciato LinkedIn alla ricerca di alti dirigenti da contattare. Ha abbandonato il suo piano originale, l\u2019invio di malware via e-mail, una volta che si \u00e8 reso conto di quanto siano forti i sistemi di cybersecurity aziendali.<\/p>\n

Cosa c\u2019\u00e8 di sbagliato in questa tattica?<\/h2>\n

Per convincere i suoi bersagli che la loro partecipazione sarebbe stata sicura, l\u2019autore della minaccia afferma che il ransomware avrebbe cancellato tutte le prove del crimine, compreso qualsiasi potenziale filmato di sicurezza, e consiglia di eliminare il file eseguibile per evitare di lasciare indizi. Ci si potrebbe aspettare che il criminale abbia pianificato di ingannare i suoi complici (una volta che il server \u00e8 stato cifrato, non gli sarebbe importato molto della loro sorte), ma non sembra aver capito bene come funzionano le indagini di digital forensics.<\/p>\n

Anche la decisione di usare DemonWare ha tradito la sua inesperienza. Sebbene alcuni cybercriminali se ne servano ancora, DemonWare \u00e8 in realt\u00e0 un malware piuttosto poco sofisticato il cui codice sorgente \u00e8 disponibile su GitHub. Il creatore del malware lo ha presumibilmente utilizzato per dimostrare quanto sia facile scrivere un ransomware.<\/p>\n

Come difendersi<\/h2>\n

Anche se si tratta solo di un esempio, l\u2019idea che gli insider possano prendere parte a un attacco ransomware \u00e8 del tutto plausibile. \u00c8 molto pi\u00f9 probabile che qualcuno venda l\u2019accesso al sistema informatico di un\u2019organizzazione rispetto all\u2019esecuzione di un malware sulla rete.<\/p>\n

Il mercato per l\u2019accesso alle reti aziendali esiste da tempo sul dark web, e i ricattatori spesso acquistano<\/a> l\u2019accesso da altri criminali informatici, i cosiddetti Initial Access Broker. Sono loro che possono essere specificamente interessati ad acquistare dati per l\u2019accesso remoto alla rete dell\u2019azienda o ai server su cloud. Gli annunci per tali acquisti rivolti a dipendenti scontenti o licenziati pullulano sul dark web.<\/p>\n

Per assicurarvi che nessuno metta in pericolo la sicurezza della vostra azienda, aprendo le porte ai ricattatori, vi consigliamo quanto segue:<\/p>\n