Mitigazione del ransomware e protezione con
Symantec Endpoint Protection
e Symantec Endpoint Security

Che cos'è un ransomware?

Il ransomware è una categoria di malware che esegue la crittografia dei documenti rendendoli inutilizzabili e permette che il resto del computer continui ad essere accessibile. Gli autori di attacchi ransomware costringono le proprie vittime a pagare un riscatto mediante metodi di pagamento specifici per poter accedere nuovamente ai loro dati.
Il ransomware mirato è più complesso degli attacchi ransomware originali e coinvolge più elementi rispetto all'infezione iniziale. Gli autori degli attacchi hanno individuato altri modi per estorcere denaro dalle organizzazioni delle vittime utilizzando i seguenti tipi di metodi di distribuzione:
  • Phishing
    : e-mail inviate ai dipendenti camuffate da corrispondenza lavorativa.
  • Malvertising
    : compromissione dei siti Web dei supporti per riportare annunci dannosi contenenti un framework basato su JavaScript noto come SocGholish, il quale è camuffato da aggiornamento del software.
  • Sfruttamento della vulnerabilità
    : sfruttamento di software vulnerabili in esecuzione su server rivolti a pubblico.
  • Infezioni secondarie
    : utilizzo di botnet preesistenti al fine di ottenere un punto di appoggio sulla rete della vittima.
  • Servizi scarsamente protetti
    : attacco alle organizzazioni attraverso servizi RDP scarsamente protetti, sfruttando le credenziali ottenute illegalmente o con scarsa protezione.

Protezione contro ransomware utilizzando
Symantec Endpoint Protection Manager
o Symantec Endpoint Security

Gli attacchi ransomware mirati possono essere suddivisi nelle seguenti fasi più generiche: compromissione iniziale, escalation dei privilegi e furto delle credenziali, spostamento laterale ed infine crittografia ed eliminazione dei backup. La difesa migliore consiste nel bloccare i numerosi tipi di attacchi e riconoscere la catena di attacco utilizzata dalla maggior parte dei gruppi di criminali informatici per identificare le priorità della sicurezza. Purtroppo, la decrittografia del ransomware non è possibile mediante strumenti di rimozione.
Su
Symantec Endpoint Protection Manager
o Symantec Endpoint Security, distribuire e abilitare le funzionalità seguenti. Alcune funzionalità sono abilitate per impostazione predefinita.
Funzionalità
Symantec Endpoint Protection
Symantec Endpoint Security
Protezione basata su file
Symantec mette in quarantena i seguenti tipi di file: Ransom.Maze, Ransom.Sodinokibi e Backdoor.Cobalt
La protezione antivirus e antispyware è attivata per impostazione predefinita.
Prevenzione e gestione di antivirus e antispyware nei computer client
La politica antimalware è abilitata per impostazione predefinita.
SONAR
La protezione basata sul comportamento SONAR è un'altra difesa fondamentale contro i malware. SONAR blocca l'esecuzione dei file doppi eseguibili di varianti ransomware come CryptoLocker.
In una politica di protezione antivirus e antispyware, fare clic su
SONAR
>
Attiva SONAR
(l'opzione è abilitata per impostazione predefinita).
Gestione SONAR
In una politica antimalware, fare clic sull'opzione di
attivazione dell'analisi comportamentale
(l'opzione è abilitata per impostazione predefinita).
Analisi download o protezione intensiva
Modificare Analisi download di Symantec per mettere in quarantena i file che ancora non sono stati segnalati come sicuri dalla base di clienti di Symantec.
Analisi download appartiene alla politica predefinita
Virus e spyware - Sicurezza elevata
.
Analisi download è sempre abilitata e appartiene alla politica
Protezione intensiva
. Per modificare le impostazioni di protezione intensiva, consultare la sezione
Sistema di prevenzione delle intrusioni (IPS)
:
  • L'IPS blocca alcune minacce che le sole definizioni dei virus tradizionali non possono arrestare. IPS è la migliore difesa dai download non autorizzati che si verificano quando vengono scaricati involontariamente software da Internet. Gli autori di attacchi spesso utilizzano i kit di exploit per lanciare un attacco basato sul Web come CryptoLocker tramite un download drive-by.
  • In alcuni casi, gli indirizzi IP possono bloccare la crittografia dei file interrompendo la comunicazione tra il comando e il controllo (C&C). Un server C&C è un computer controllato da un hacker o un criminale informatico. Viene utilizzato per inviare i comandi ai sistemi compromessi da malware e ricevere i dati rubati da una rete di destinazione.
  • Reputazione URL
    : impedisce le minacce Web basate sul punteggio di reputazione di una pagina Web. L'opzione
    Abilita reputazione URL
    blocca le pagine Web con punteggi di reputazione inferiori a una soglia specifica. (14.3 RU1 e versioni successive).
Introduzione alla prevenzione dalle intrusioni
La reputazione dell'URL non è attivata per impostazione predefinita.
Blocco di file PDF e script
Nella politica Eccezioni, fare clic su
Eccezioni Windows
>
Accesso file
.
Utilizzare le opzioni Elenco Elementi consentiti ed Elenco Elementi non consentiti per evitare file e domini dannosi noti. Fare clic su
Impostazioni
>
Elenco Elementi consentiti ed Elenco Elementi non consentiti
.
Scaricare le patch più recenti per i framework delle applicazioni Web, i browser Web e i plug-in dei browser Web.
  1. Utilizzare il controllo delle applicazioni e delle periferiche per impedire l'esecuzione delle applicazioni nelle directory dei profili utente, ad esempio Local e LocalLow. Le applicazioni ransomware si installano in numerose directory, oltre a Local\Temp\Low.
  2. Utilizzare la risposta di rilevamento endpoint (EDR) per identificare i file con comportamento ransomware:
    1. Disabilitare gli script macro dai file MS Office trasmessi tramite posta elettronica.
    2. Fare clic con il pulsante destro del mouse sugli endpoint rilevati e selezionare l'opzione di
      isolamento
      . Per isolare e ricongiungere gli endpoint dalla console, è necessario disporre di una politica Firewall con quarantena in Symantec Endpoint Protection Manager assegnata a una politica di Integrità dell'host.
  • Scansioni di rilevamento: la console cloud offre una visualizzazione completa dei file, delle applicazioni e dei file eseguibili visualizzati nell'ambiente. È possibile visualizzare le informazioni sui rischi, le vulnerabilità, la reputazione, l'origine e altre caratteristiche associate agli elementi individuati.
  • Utilizzare gli elementi individuati se EDR è abilitato. L'agente di rilevamento su SES è simile al rilevatore non gestito su SEP. Tuttavia, l'agente fornisce numerose informazioni aggiuntive sui singoli file e sulle singole applicazioni.
  • La funzionalità Controllo applicazioni controlla e gestisce l'utilizzo di applicazioni indesiderate e non autorizzate nel proprio ambiente. La funzionalità Controllo applicazioni su SES presenta delle differenze rispetto a SEP.
    Introduzione a Controllo applicazioni
    • Per gli agenti Symantec 14.3 RU1 (e versioni successive), utilizzare l'isolamento comportamentale per gli endpoint che non utilizzano l'isolamento delle applicazioni e il controllo delle applicazioni. La politica di isolamento delle applicazioni comportamentali identifica la modalità di gestione di comportamenti sospetti che possono essere eseguiti da applicazioni attendibili. Gli avvisi vengono riportati nella console cloud e viene visualizzato un messaggio se nella politica è disponibile una nuova firma del comportamento o una firma del comportamento esistente. Stabilire se il comportamento è il risultato di un attacco a un file e specificare l'azione da intraprendere.
Parte della versione completa di Symantec Endpoint Security
Reindirizzamento del traffico di rete e servizio di sicurezza Web
Utilizzare il reindirizzamento del traffico di rete e le impostazioni di connessione sicura in modo che, sia nel caso di una rete aziendale, domestica o fuori sede, gli endpoint siano in grado di integrarsi con Symantec Web Security Service (WSS). NTR reindirizza il traffico Internet sul client a Symantec WSS, il cui traffico sarà consentito o bloccato in base alle politiche WSS.
Mitigazione degli exploit della memoria
Protegge dalle vulnerabilità note in software sprovvisto di patch, come i server Web JBoss o Apache, ampiamente utilizzati dagli hacker.
AMSI e scansione senza file
Gli sviluppatori di applicazioni di terze parti possono proteggere i propri clienti da malware basati su script dinamici e da modalità non tradizionali di cyberattack. L'applicazione di terze parti richiama l'interfaccia AMSI di Windows per richiedere un'analisi degli script forniti dall'utente, indirizzati al client di Symantec Endpoint Protection. Il client risponde con un verdetto per indicare se il comportamento dello script è dannoso. Se il comportamento non è dannoso, l'esecuzione dello script procede. Se il comportamento dello script è dannoso, l'applicazione non viene eseguita. Sul client, la finestra di dialogo Risultati di rilevamento visualizza lo stato "Accesso negato". Esempi di script di terze parti includono Windows PowerShell, JavaScript e VBScript. Auto-Protect deve essere attivato. Questa funzionalità funziona per i computer Windows 10 e versioni successive.
14.3 e versioni successive.
Non disponibile.
Endpoint Detection and Response (EDR)
EDR si concentra su comportamenti piuttosto che su file e può rafforzare le difese contro lo spear phishing e l'utilizzo di strumenti dannosi. Ad esempio, se in genere Word non avvia PowerShell nell'ambiente del cliente, questo comportamento dovrebbe essere posizionato nella modalità di blocco. L'interfaccia utente di EDR consente ai clienti di comprendere facilmente quali comportamenti sono comuni e consentiti, quali vengono rivelati ma ancora devono essere notificati e, infine, quali non sono comuni e devono pertanto essere bloccati. È inoltre possibile gestire le lacune in modo reattivo come parte dell'indagine e della risposta agli avvisi di incidente. L'avviso di incidente visualizzerà tutti i comportamenti osservati come violazioni e consente di inserire il diritto in modalità blocco dalla pagina Dettagli incidente.
Parte della versione completa di Symantec Endpoint Security.
Protezione basata sull'intelligenza artificiale
L'analisi cloud degli attacchi mirati di Symantec sfrutta un meccanismo avanzato di machine learning per individuare i modelli di attività associati agli attacchi mirati.
Parte della versione completa di Symantec Endpoint Security.
Utilizzare gli strumenti di controllo per ottenere una visione degli endpoint sia all'interno di una rete aziendale che al suo esterno prima che il ransomware abbia la possibilità di diffondersi.

Procedure consigliate per mitigare il ransomware

Protezione avanzata dell'ambiente dai ransomware
Oltre ad abilitare la protezione SEP o SES, per evitare l'infezione ransomware, attenersi alla procedura riportata di seguito.
Passaggio
Descrizione
1. Protezione dell'ambiente locale
  1. Assicurarsi di disporre della versione più recente di PowerShell
    e di aver attivato la registrazione.
  2. Limitare l'accesso ai servizi RDP.
    Consentire solo gli RDP provenienti da indirizzi IP noti specifici e verificare che si stia utilizzando l'autenticazione multifattore. Utilizzare File Server Resource Manager (FSRM) per bloccare la scrittura delle estensioni ransomware note sulle condivisioni di file in cui è richiesto l'accesso in scrittura dell'utente.
  3. Creare un piano per prendere in considerazione le notifiche di parti esterne
    . Al fine di garantire la corretta notifica delle organizzazioni richieste, come l'FBI o altre autorità/agenzie di salvaguardia della legge, assicurarsi di disporre di un piano per la verifica.
  4. Creare una "jump bag" contenente copie cartacee e copie software archiviate di tutte le informazioni amministrative estremamente importanti
    . Al fine di compromettere la disponibilità di queste informazioni critiche, archiviarle in una jump bag contenente l'hardware e il software necessari per la risoluzione dei problemi. L'archiviazione di queste informazioni sulla rete non è utile quando i file di rete vengono crittografati. Implementare l'audit e il controllo appropriati per l'utilizzo degli account amministrativi. È inoltre possibile implementare credenziali monouso per impedire il furto e l'utilizzo delle credenziali di amministratore.
  5. Creare i profili di utilizzo per gli strumenti di amministrazione
    . Molti di questi strumenti vengono utilizzati dagli hacker per spostarsi in incognita attraverso una rete. Un account utente con una cronologia di esecuzione in qualità di amministratore che utilizza PsInfo/PsExec su un numero limitato di sistemi probabilmente non presenterà problemi. Tuttavia, un account di servizio che esegue PsInfo/PsExec su tutti i sistemi potrebbe essere sospetto.
2. Protezione del sistema di posta elettronica
  1. Abilitare l'autenticazione a due fattori (2FA) per impedire la compromissione delle credenziali durante gli attacchi di phishing.
  2. Rafforzare l'architettura della sicurezza dei sistemi di posta elettronica
    per ridurre al minimo la quantità di spam che raggiunge le Inbox degli utenti finali e garantire la corretta adozione delle procedure consigliate per il sistema di posta elettronica, incluso l'utilizzo di SPF e altre misure difensive contro gli attacchi di phishing.
3. Esecuzione d backup
Eseguire regolarmente il backup dei file sia sui client che sui server. Eseguire il backup dei file quando i computer sono offline o utilizzare un sistema in cui i computer sulla rete e i server non possano scrivere. Se non si dispone di un software di backup dedicato, è possibile copiare i file più importanti su supporti rimovibili. Poi espellere e scollegare il supporto rimovibile; non lasciare collegato il supporto rimovibile.
  1. Implementare l'archiviazione fuori sede delle copie di backup
    . Organizzare l'archiviazione fuori sede di almeno quattro settimane di backup incrementali settimanali completi e giornalieri.
  2. Implementare i backup non in linea presenti sul sito
    . Assicurarsi di disporre di backup non connessi alla rete per impedirne la crittografia da parte del ransomware. È preferibile eliminare il sistema dalle reti per evitare potenziali diffusioni della minaccia.
  3. Verificare e collaudare la soluzione di backup a livello di server.
    Questo comportamento dovrebbe essere già parte del processo di ripristino di emergenza.
  4. Proteggere le autorizzazioni a livello di file per i backup e i database di backup.
    Non permettere che i backup vengano crittografati.
  5. Verificare le funzionalità di ripristino.
    Verificare che le funzionalità di ripristino supportino le esigenze aziendali specifiche.
Bloccare le unità di rete mappate proteggendole con una password e restrizioni del controllo degli accessi. Utilizzare l'accesso di sola lettura per i file sulle unità di rete, a meno che non sia assolutamente necessario disporre di accesso in scrittura a tali file. La limitazione delle autorizzazioni utente limita i file che possono essere crittografati dalle minacce.

Cosa fare se si riceve ransomware?

Non è disponibile alcuno strumento di rimozione del ransomware. Nessun prodotto di sicurezza è in grado di decrittografare i file crittografati dal ransomware. Se il proprio computer client viene infettato con il ransomware e i dati vengono crittografati, procedere come segue:
  1. Non pagare il riscatto.
    Se si paga il riscatto:
    • Non è sicuro che l'autore dell'attacco fornisca un metodo per sbloccare il computer o decrittografare i file.
    • L'autore dell'attacco utilizza i soldi ricevuti per finanziare ulteriori attacchi contro altri utenti.
  2. Isolare il computer infetto prima che il ransomware riesca ad attaccare le unità di rete a cui ha accesso.
  3. Utilizzare
    Symantec Endpoint Protection Manager
    o SES per aggiornare le definizioni dei virus ed eseguire la scansione dei computer client.
    È probabile che le nuove definizioni rilevino e correggano il ransomware.
    Symantec Endpoint Protection Manager
    scarica automaticamente le definizioni dei virus nel client, a condizione che il client sia gestito e connesso al server di gestione o alla console cloud.
    • In
      Symantec Endpoint Protection Manager
      , fare clic su
      Client
      , fare clic con il pulsante destro del mouse sul gruppo, e fare clic su
      Esegui comando sul gruppo
      >
      Aggiorna contenuto ed esegui scansione
      .
    • In Symantec Endpoint Security, eseguire il comando
      Esegui scansione ora
      .
      Esecuzione di comandi su periferiche client
  4. Eseguire nuovamente un'installazione utilizzando un'installazione pulita.
    Se si ripristinano file crittografati da un backup, è possibile recuperare i dati ripristinati, ma è possibile che un altro malware sia stato installato durante l'attacco.
  5. Inviare il malware a Symantec Security Response.
    Se è possibile identificare l'e-mail o il file eseguibile nocivo, inviarlo a Symantec Security Response. Questi campioni permettono a Symantec di creare nuove firme e migliorare le difese contro i ransomware.