▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Ransomware ed exploit zero day, fine anno difficile per Windows

Il ransomware Snatch riavvia Windows in modalità provvisoria per agire indisturbato, l'exploit zero day di Windows concede ai cyber criminali l'accesso al sistema come amministratore.

Business Consumer Tecnologie/Scenari Vulnerabilità
È ancora un ransomware a disturbare la quiete di fine anno. Il suo nome è Snatch e secondo gli esperti di sicurezza di Sophos è particolarmente insidioso. La scoperta di questo strumento malevolo risale al 2018. Il suo comportamento noto aveva permesso di bloccarlo mediante le protezioni che intercettano le attività tipiche dei ransomware. A quanto pare, i cyber criminali hanno affinato la tecnica e questa difesa non è più così efficace.

Nel report "Snatch Ransomware Reboots PCs into Safe Mode to Bypass Protection" si legge che, per agire indisturbato, Snatch riavvia i PC in modalità provvisoria prima di iniziare il processo di crittografia. Gli esperti di SophosLabs e Sophos Managed Threat Response spiegano le modalità d'attacco. Snatch è il classico esempio di strumento per un attacco attivo. I cyber criminali si insinuano nel sistema vittima abusando dei servizi di accesso remoto IT non protetti. Un esempio è il Remote Desktop Protocol (RDP).
snatch 1Snatch riavvia il computer in Modalità provvisoria. In questo ambiente la maggior parte dei software (inclusi quelli di sicurezza) non funziona. Il ransomware può così crittografare indisturbato i dati delle vittime. A quel punto non c'è più nulla da fare, se non denunciare l'accaduto alle forze dell'ordine. La tecnica non è inedita, è usata anche da altri gruppi di ransomware, come Bitpaymer.

SophosLabs ritiene che il rischio sia talmente alto da giustificare un'elevata attenzione da parte dei responsabili della sicurezza IT e degli utenti finali. Anche perché Snatch non è in singolo strumento, ma una raccolta di strumenti. Include un ransomware, uno strumento per il furto di dati, e uno Cobalt Strike per rivelare le vulnerabilità del sistema. Ci sono inoltre strumenti pubblici che non sono intrinsecamente dannosi, ma che possono essere utilizzati in modo fraudolento.

La buona notizia è che questo malware funziona solo su Windows, dalla versione 7 alla 10, nelle versioni a 32 e 64 bit.
snatch 2La difesa segue le solite regole del buon senso: tenere costantemente sotto controllo le minacce, implementare tecniche di Intelligenza Artificiale per il rilevamento delle anomalie. Dove possibile bisogna chiudere i servizi di accesso remoto, negli altri casi attivare una VPN con autenticazione multi-fattore.

I server con accesso remoto aperto alla rete devono essere tempestivamente aggiornati con le patch più recenti e con software per la protezione degli endpoint. Non ultimo, chi si collega ai servizi di accesso remoto dovrebbe avere privilegi limitati.

Exploit zero day di Windows

Per chi usa i sistemi Windows, Snatch non è l'unica minaccia. Kaspersky ha individuato una vulnerabilità zero-day. Permette agli attaccanti di ottenere l’accesso al sistema come amministratore (“elevation of privilege”, EoP) e di eludere la protezione del browser Google Chrome. È lo stesso strumento malevolo incorporato in un exploit Google Chrome rilevato lo scorso novembre 2019. Di recente è stato impiegato nell’operazione WizardOpium.
exploit eop utilizzato nell attaccoExploit EoP utilizzato nell'attacco
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security
Lug 10
Business Meeting Lexmark Marche | XC9525, la nuova generazione della stampa A3
Lug 10
scrivi qui il titolo...
Lug 10
Parallels RAS: accesso remoto sicuro, semplice, e scalabile per la tua azienda
Lug 10
Boost Your Backup Strategy con Object First: demo live e casi di successo

Ultime notizie Tutto

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1