Conti, il ransomware che non perdona

Tempo di lettura

In circolazione dallo scorso luglio, del ransomware Conti finora se n'è parlato troppo poco. I ricercatori di cyber sicurezza di Carbon Black (che trovi qui, in inglese) hanno evidenziato caratteristiche inedite: utilizzando fino a 32 threads contemporanei e indipendenti per una velocità di propagazione e cifratura molto maggiore degli altri ransomware in circolazione, sfruttando opzioni di linea di comando che gli consentono di controllare la scansione dei dati. Questo comportamento fa sospettare che il rilascio sia stato organizzato da vere e proprie organizzazioni criminali a scopo di lucro.

L'altra caratteristica davvero preoccupante è la possibilità di saltare la cifratura di file locali. Conti prende di mira esclusivamente quelli SMB, caratteristica che finora era appannaggio solamente di Sodinokibi (REvil). Questo consente il "salto di specie" dal mondo Windows agli altri linguaggi (come il mondo NAS, Linux ecc), rendendolo, se non viene riconosciuto in tempo, inarrestabile. Il tocco finale è l'infezione del Windows Restart Manager per essere certi che tutti ma proprio tutti i file possano essere cifrati. Questo consente non solo di cifrare il disco rigido del computer vittima dell'attacco, ma anche tutte le condivisioni di rete e addirittura indirizzi IP specifici. Durante la sua esecuzione blocca i servizi di Windows che potrebbero creare problemi all'azione malevola dell'attacco (addirittura 146 comandi su 160 sono dedicati al blocco di questi servizi) e interrompe il ripristino del sistema locale tramite eliminazione delle copie shadow.

conti

Conti, azione e conseguenze

Secondo i ricercatori, Conti presenta alcune funzioni attive pensate per contrastare i processi di rilevamento della minaccia e di reverse engineering (per comprenderne il funzionamento e annullarne gli effetti), che assieme ad alcune somiglianze con i tristemente noti ransomware Sodinokibi e Ryuk, ha portato a definirlo addirittura la "rappresentazione standard del ransomware moderno", ridefinendo di fatto il livello delle minacce informatiche cui siamo quotidianamente sottoposti.

Il risultato finale? Una vera catastrofe. Tutti i file compromessi avranno un'estensione extra denominata .CONTI e verrà generato un file di testo sul desktop denominato CONTI_README.txt con la richiesta di riscatto. Ma non è finita qui! Una volta acquisita la cache ARP, il malware comincerà a "bussare" a tutti gli indirizzi IP locali nel tentativo di accedere e avanzare la propria opera di danneggiamento.

Si può fare qualcosa? Attualmente non c'è ancora la cura, ma è possibile avviare una checklist di sicurezza che vada a mitigare il rischio di danneggiamento:

  • Aggiornare sistemi e applicazioni in maniera periodica, routine da richiedere al vostro tecnico informatico o alla società che vi segue
  • Prevedere l'autenticazione multi fattore sugli accessi remoti (o meglio ancora, se non siete sicuri del livello di sicurezza dei dispositivi a cui permettete il collegamento, revocate i permessi)
  • Disattivate gli account admin sostituendoli con altri creati appositamente
  • Isolate i sistemi critici e compartimentate la rete in segmenti
  • Custodite i vostri backup con soluzioni offline o in cloud
  • Formate il vostro personale con le regole base di sicurezza (ad esempio sulla veridicità degli allegati email, o sul non effettuare download da siti non sicuri)

Nel caso aveste dubbi, domande, o la necessità di una consulenza in merito, non esitate a contattarci, siamo a vostra disposizione.

 

conti
gif Tenor.com
Pubblicato il:
8/9/2020
12/6/2024

potrebbe interessarti anche

Archiviazione dati: come conservi i tuoi?

Parliamo dei metodi di archiviazione dati e vi diamo qualche consiglio sul migliore modo di avere cura della più preziosa risorsa di un'azienda.

Leggi tutto l'articolo
Informatica

Il futuro delle password è nessuna password

Ricordarsi tutte le password che servono per la nostra vita online diventa sempre più difficile. Il futuro è nei nuovi metodi di autenticazione utente.

Leggi tutto l'articolo
Cybersicurezza
Informatica

Il System Integrator, perchè la tua azienda ne ha bisogno

Il System Integrator è una figura professionale sempre più importante per le aziende. Analizziamola e capiamo come il suo lavoro può essere utile.

Leggi tutto l'articolo
Informatica
Telefonia

iscriviti alla nostra newsletter

lavora con noi

Uniontel è sempre alla ricerca di talenti.
Se vuoi provare a fare parte della nostra squadra, mandaci la tua candidatura!
Offriamo contratto a norma di CCNL, benefit e welfare aziendale.
La nostra ricerca è sempre aperta in campo tecnico e commerciale

Inviaci il tuo curriculum e parlaci di te!

*dimensione massima allegato 5MB
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Contattaci

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.