Attacchi ransomware a server e applicazioni web

Proto: N011115.

 

Con la presente Yoroi desidera comunicarLe che nell’ultimo periodo stiamo registrando ulteriori tipologie di attacchi ransomware che mirano a colpire infrastrutture web. Questo genere di attacchi è pertanto rivolto ai servizi vulnerabili esposti su internet appartenenti ad organizzazioni e privati, dove a fronte di un accesso abusivo viene compromessa la totale funzionalità del server al fine di ottenere un riscatto in valuta anonima BitCoin.

Questa tipologia di attacchi fa leva sulla presenza di server web non aggiornati all’interno delle infrastrutture, o nei quali sono pubblicate applicazioni web vulnerabili in grado di permettere ad un attaccante sufficientemente preparato di ottenere accesso alla macchina. Il processo di attacco attuato dai cyber-criminali comprende le seguenti macro-fasi:
  1. Compromissione di server e applicazioni web vulnerabili (eg. server web Apache e NGINX)
  2. Installazione di Ransomware sul server, anche unix-based (eg. Linux.Encoder.1 ).
  3. Cifratura di file applicativi ed eseguibili, documenti e risorse accessibili dal server, file di log e file di backup.
  4. Richiesta di riscatto
Questo genere di attacchi basati su Ransomware rappresenta una evoluzione delle minacce in quanto i malware utilizzati per la cifratura dei dati sono in grado di infettare server e sistemi unix-based, ampliando significativamente il bacino di potenziali vittime dei gruppi cyber-criminali che operano gli attacchi in oggetto.

Pertanto Yoroi suggerisce di verificare periodicamente lo stato di sicurezza delle infrastrutture attraverso test di penetrazione (Penetration Test) ed introducendo processi di gestione delle vulnerabilità (Vulnerability Management) atti al monitoraggio ed al controllo dei rischi inesorabilmente legati alla pubblicazione di servizi e portali web. 

Yoroi suggerisce inoltre di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection) e di mantenere alto il livello di guardia all’interno della vostra organizzazione.

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index