Ransomware attack. Come fermarli.
Ransomware attack. Continuano a far tremare le aziende di tutto il mondo, molti di loro sfruttano Active Directory (AD). Tecnologia cruciale che costituisce il fondamento della maggior parte degli ambienti IT odierni.
L’accesso all’AD di un’azienda è prezioso per due ragioni fondamentali. AD viene utilizzato per archiviare molte informazioni relative all’identità. Autorizzazioni utente, password e dispositivi presenti nella rete. In secondo luogo, fornisce la gestione centralizzata di varie entità nella rete, inclusi server, workstation e applicazioni.
LockBit ransomware 2.0. ad esempio, è una versione migliorata del LockBit, scoperto per la prima volta nel 2019. Viene distribuito utilizzando il modello Ransomware as a Service. Gli hacker impacchettano il malware con tutti gli strumenti necessari per eseguire un attacco e venderlo agli affiliati che lo eseguono. La nuova variante, attiva da giugno, viene commercializzata dai suoi sviluppatori come il ransomware più veloce disponibile sul mercato. Può crittografare automaticamente i sistemi aggiunti a un dominio nella rete sfruttando la politica del gruppo AD.
I criteri di gruppo sono una funzionalità di AD che consente agli amministratori di gestire centralmente utenti e computer aggiunti a un dominio. Gli amministratori possono impedire agli utenti di installare software di terze parti, configurare script che vengono eseguiti durante l’avvio o l’arresto del dispositivo, bloccare l’accesso al prompt dei comandi e molto altro. L’amministratore può controllare il funzionamento dei dispositivi nella rete. Senza di esso, gli amministratori dovranno accedere individualmente a ciascun computer per apportare modifiche.
Nel caso di LockBit 2.0, una volta che il ransomware si fa strada verso il controller di dominio (DC), crea criteri di gruppo che possono disabilitare Windows Defender ed eseguire il modulo ransomware in ogni macchina.
Anche altri ceppi di ransomware si affidano al controllo del controller di dominio e alla diffusione ai dispositivi della rete.
Ransomware attack. Perché.
Configurazioni errate di AD come password deboli per account utente, account di amministratore di dominio, account inattivi con password senza scadenza, privilegi utente non controllati, sono tutti fattori che gli aggressori sfruttano per ottenere il controllo sul controller di dominio. Per evitare di cadere preda di attacchi ransomware, le aziende devono intensificare i propri sforzi per rafforzare la sicurezza di AD.
Prova subito la demo di AD360: https://www.manageengine.it/active-directory-360/ e contatta gli specialisti di Bludis allo 0643230077 o invia una e-mail a sales@bludis.it Non perdere i nostri webinar sulle soluzioni ManageEngine: https://www.bludis.it/webinar/
