Sophos: come funziona e come difendersi dal ransomware Conti

Multinazionale leader nella sicurezza di ultima generazione, Sophos protegge più di 400.00 aziende di ogni dimensione in oltre 150 paesi dalle minacce informatiche più avanzate. Sviluppate dai SophosLabs – team di ricerca globale – le soluzioni di sicurezza cloud-native e con AI integrata proteggono endpoint, server, device mobili e reti dalle minacce sempre più evolute, incluse violazioni automatizzate, ransomware, malware, exploit, furto di dati, phishing e molto altro. 

Proprio per la loro capacità, il Sophos Rapid Response è stato chiamato ad analizzare, neutralizzare e fronteggiare il ransomware “human-operated” Conti. Questo attacco si sviluppa in 5 giorni dal momento della compromissione iniziale al ripristino dell’operatività aziendale. Gli autori di questo attacco minacciano le loro vittime, dopo aver sottratto dati sensibili e averli criptati, di renderli visibili sul sito “Conti News” qualora non venga pagato il riscatto. Scopriamo insieme cosa fare in caso di attacco e come difenderci dal ransomware Conti.

Ecco lo studio di Sophos sul ransomware Conti

Il report in tre parti rilasciato da Sophos, “The Realities of Conti Ransomware“, è formato da:

• Un attacco ransomware Conti giorno per giorno – Analisi della metodologia di attacco Conti, inclusi gli indicatori di Compromissione (ioC) e le tattiche, tecniche e procedure (TTPs)
• Conti Ransomware: evasivo per natura – Una panoramica tecnica sulla natura evasiva di Conti a cura dei ricercatori di Sophos
• Cosa aspettarsi se si viene colpiti dal ransomware Conti – Una serie di consigli che forniscono ai responsabili IT che si trovano ad affrontare l’iumpatto di un attacco Conti indicazioni utili in merito alle azioni da intraprendere tempestivamente e una lista di controllo in 12 punti per aiutarli ad indagare sull’attacco. la lista di controllo guida gli amministratori IT attraverso tutto ciò che gli aggressori di Conti potrebbero fare mentre si trovano all’interno della rete e le principali TTP che probabilmente useranno.

Peter Mackenzie, manager di Sophos Rapid Response, ha spiegato quanto segue:

Nei casi di attacchi human-operated, chi guida l’offensiva può adattarsi e reagire ai cambiamenti in tempo reale. In questo caso, è stato conquistato contemporaneamente l’accesso a due server, così quando la vittima ha rilevato l’attacco e ha disabilitato uno dei due (convincendosi di aver bloccato il ransomware), i cybercriminali non hanno dovuto far altro che passare all’altro server e continuare il proprio attacco indisturbati. Avere un piano B rappresenta un approccio comune per gli attacchi human-operated ed è un importante promemoria del fatto che aver bloccato un’attività sospetta sulla propria rete non significa che l’attacco sia finito

Il sito “Conti News” ha pubblicato ad oggi i dati rubati a 180 vittime; Sophos ha creato un profilo delle vittime basandosi su tali dati (che coprono circa 150 aziende i cui dati erano stati pubblicati al momento dell’analisi). Ecco la lista di azioni che aiuterà gli IT manager ad affrontare le ore e i giorni successivi all’attacco.

Cosa fare in caso di attacco 

• Chiudere eventuali Remote Desktop Protocol connessi a Internet.
• Se è necessario un accesso al RDP, impostarlo dietro a una connessione VPN.
• Utilizzare una sicurezza a più livelli per prevenire, proteggere e rilevare i cyberattacchi. Ciò dovrà prevedere sistemi di EDR e team di Managed Threat Response per vigilare sulla rete aziendale 24 ore al giorno e 7 giorni su 7 senza interruzioni.
• Essere consapevoli dei cinque segnali che rivelano che l’azienda sta per essere attaccata al fine di agire tempestivamente e bloccare l’attacco.
• Disporre di un piano efficace di incident response e aggiornarlo quando necessario. Qualora l’azienda non abbia le risorse o le competenze specifiche per gestire questi aspetti, è consigliabile rivolgersi a degli esperti per ulteriore supporto e consulenza. Se non ci si sente sicuri di avere le competenze o le risorse per fare questo, per monitorare le minacce o per rispondere agli incidenti di emergenza, è consigliato rivolgersi ad esperti esterni per un aiuto.

In questo modo sarà possibile bloccare il ransomware Conti e i file ad esso associati.  Sebbene non sia una vera e propria passeggiata, almeno si è trovato un metodo per contrastare queste continue minacce. Ritrovarsi con il computer hackerato, specialmente per un’azienda, non è mai una cosa bella. Per capire come possono agire gli hacker, vi invito a leggere l’intervista di Cisco Talos a uno di essi. Per leggerla potete cliccare qui. Voi conoscevate questo ransomware? Ci avete mai avuto a che fare? Fateci sapere la vostra nei commenti. Per non perdervi ulteriori news dall’universo software, continuate a seguire le pagine di tuttoteK!