Contromisure e strategie di prevenzione contro gli ultimi attacchi ransomware
Contromisure e strategie di prevenzione contro gli ultimi attacchi ransomware
F-Secure Labs aveva avvertito preventivamente della crescita esponenziale dei ransomware, in particolare dei crypto-ransomware. Gli analisti F-Secure seguono da vicino lo sviluppo dei ransomware derivati dall’exploit Eternal Blue . Sono state colpite molteplici organizzazioni e gli utenti infetti non sono in grado di utilizzare le loro macchine se non pagano un riscatto in Bitcoin.Questo tipo di ransomware, ultimi in ordine di tempo Wannacry e Petya, si diffondono agli endpoint all’interno delle reti sfruttando le vulnerabilita’ di Windows e delle applicazioni.
Come proteggere i vostri clienti contro i ransomware?
I prodotti di F-Secure bloccano i ransomware proattivamente, infatti impediscono tutti gli esempi e varianti di Eternal Blue. Il prodotto di gestione della vulnerabilita’ di F-Secure segnala le vulnerabilita’ utilizzate all’interno del sistema per la rimozione prevenendo l’infezione sugli endpoint.
F-Secure ha rilevato questi ultimi due ransomware sin dall’inizio, il che significa che la protezione e’ stata resa disponibile a tutti i clienti F-Secure endpoint gia’ prima dell’epidemia e del contagio!
I NOSTRI CONSIGLI PER I CLIENTI
Le soluzioni endpoint F-Secure bloccano l’attacco Petya con le impostazioni di default. In ogni caso, è meglio verificare che tutte le funzionalità di sicurezza siano abilitate. Inoltre, dovresti seguire questi passaggi per mitigare la vulnerabilità sfruttata e impedire che l’attacco si diffonda nel tuo ambiente.
- Assicurati che DeepGuard e la protezione real-time siano attivi su tutti gli endpoint aziendali.
- Assicurati che F-Secure Real-time Protection Network sia attiva.
- Assicurati che il programma di sicurezza F-Secure stia usando l’ultimo aggiornamento del database disponibile.
- Identifica gli endpoint senza la patch rilasciata da Microsoft (4013389) con Software Updater o altri strumenti disponibili, e installala subito.
- Applica MS17010 a Windows Vista e versioni successive (Windows Server 2008 e successive)
- Applica la patch Microsoft a Windows XP o Window Server 2003.
- Se non riesci a installare subito le patch, ti consigliamo di disabilitare SMBv1 seguendo i passaggi riportati nel Microsoft Knowledge Base Article 2696547 in modo da ridurre la superificie d’attacco.
- Assicurati che il firewall F-Secure sia attivo con le sue impostazioni di default. In alternativa, configura il tuo firewall per bloccare il traffico inbound e outbound dalla porta 445 all’interno dell’organizzazione per evitare che si diffonda nell’ambiente.