Wazuh – Scovare e prevenire attacchi ransomware – Part 1

Published by Lello on

Wazuh può rivelarsi utile anche nel rilevare in real-time attacchi di tipo ransomware.

Il ransomware è un tipo di virus che cripta i files della vittima; l’attaccante successivamente chiede un “riscatto” (solitamente in bitcoin) per fornire una chiave di decriptazione tramite la quale riuscire a recuperare i files criptati.

Nella maggior parte delle volte non serve a nulla pagare il riscatto, in quanto:

  • la chiave per la decriptazione non funziona ;
  • non viene mai fornita una chiave di decrittografia.

Inutile dire che sarà anche impossibile contattare l’autore dell’aggressione per eventuali chiarimenti …

L’unico rimedio a disposizione per sopravvivere ad un attacco (riuscito) di tipo ransomware, è quello di ripristinare tutto (server e dati) tramite copie di backup. Se non si hanno copie di backup, vuol dire che i vostri dati non sono in fondo così importanti 😉

Ricordatevi che periodicamente occorre effettuare dei restore dai backup al fine di vericarne il corretto funzionamento.

Come vettori per la diffusione del ransomware si usano spesso attacchi di tipo phishing: allegati che arrivano nella mail di un utente mascherati da file con cui hanno confidenza; ad esempio, si potrebbe nascondere il virus all’interno di un file in formato excel che viene chiamato “fattura.xlsx” e inviato al reparto amministrazione di un’azienda. Una volta aperto, il virus si attiva e comincia ad installare sul computer pezzi di codice spesso scaricati da internet.

Una volta che il virus si è auto-installato, comincia a moltiplicarsi (esattamente come fanno i virus) : comincia a cercare nella vostra rete altri PC/server da infettare, scansiona i destinatari delle vostre email e si auto-invia a terzi. Spesso questi virus rimangono silenti per diverso tempo, anche mesi, aspettando di riuscire a carpire delle credenziali di tipo amministrativo sulla rete con cui possono espletare il maggior danno possibile.

Ma come evitare il malware? Difficile dire in poche parole, ma sicuramente:

  • mantenere i sistemi operativi aggiornati con le ultime patch rilasciate dal produttore;
  • non installare software non conosciuto o di dubbia provenienza, soprattutto se richiede privilegi amministrativi;
  • installare un buon antivirus di rete (e tenerlo aggiornato);
  • backup, backup e ancora backup (che devono essere isolati e NON essere in alcun modo accessibili ai computer della rete).

Possiamo riassumere le principali azioni che un ransomware compie in tre punti:

  1. lettura di un file;
  2. creazione di un nuovo file contenente la versione crittografata del file letto;
  3. cancellazione del file in chiaro.

Tali step vengono ripetuti per quanti più files possibili, per cercare di aumentare il disagio arrecato alla vittima e la difficoltà di quest’ultimo a recuperare i files originali (pensate se il ransomware riuscisse a colpire anche le copie di backup: il danno diventerebbe assoluto).

Un attacco di tipo ransomware può essere scovato in real-time da Wazuh, grazie al monitoraggio del file system al fine di capire se vengono aggiunti, modificati o cancellati files.

Prima di procedere con l’analisi dell’attacco, verifichiamo che il nostro sistema abbia il sistema di auditing attivo (l’auditing sarà quello che offrirà informazioni aggiuntive a Wazuh per scovare l’attacco):

# dnf -y install audit
# systemctl enable --now auditd

Procediamo con la simulazione ed all’analisi dell’attacco.

← Wazuh – Pro-active response – Examples

Wazuh – Scovare e prevenire attacchi ransomware – Part 2 →

Categories: SecurityTechnology
Tags:

Related Posts

information security
Cultura

… e 100.000 !!!

Sono passati circa 2 anni da quando ho iniziato a comunicare quasi per gioco ad AbuseIPDB gli indirizzi IP che cercano di effettuare tentativi fraudolenti verso alcuni server (circa una ventina, non critici) che gestisco Read more…

Apache Guacamole
Linux

Apache Guacamole – Database

Espandiamo le capacità di Apache Guacamole utilizzando come back-end di autenticazione un Database Server. In questo post utilizziamo come back-end MySQL/MariaDB. Apache Guacamole supporta diversi database: MySQL, MariaDB, PostgreSQL, MS SQL Server o altri tramite Read more…

Attacco hacker hypervisor ESXi VMware
Security

Attacco hacker verso hypervisor ESXi VMware

Da qualche giorno è in corso un attacco hacker rivolto verso gli hypervisor ESXi di VMware. Il CERT-FR, centro istituzionale francese di vigilanza e risposta agli attacchi informatici, aveva diramato un bollettino di ALLERTA il Read more…