Gli esperti di sicurezza di Sophos hanno recentemente individuato una nuova versione del ransomware Snatch che ha la particolarità di poter attaccare un terminale Windows anche in modalità Safe Mode, sostanzialmente viene sfruttato il riavvio del computer per bypassare tutti i controlli basati sulla behavioral analysis che potrebbero essere attivati dal sistema.
Tale impostazione consente di accedere ai dati, e quindi sottrarli, ancora prima che inizi il processo di cifratura. Per sfruttare questa opportunità gli attaccanti farebbero riferimento a standard di accesso remoto non protetti, come per esempio il Remote Desktop Protocol, grazie ai quali violare un sistema e operare manualmente all’interno di esso.
Sempre secondo i ricercatori di Sophos, nel prossimo futuro assisteremo ad un numero sempre maggiore di incursioni telematiche basate sulle stesse dinamiche che vengono sfruttate dall’ultima variante di Snatch, con informazioni sensibili che vengono prima trafugate e poi cifrate per richiedere un riscatto come accade tradizionalmente con i ransomware.
Non esisterebbe una singola contromisura utile a tutelare la propria infrastruttura contro questo tipo di minacce. Innanzitutto sarebbe buona norma arrestare qualsiasi supporto attivo all’accesso remoto che possa essere utilizzato tramite una rete pubblicamente accessibile, ma con il progredire delle tecniche di attacco diventerà indispensabile il ricorso a strumenti proattivi basati sull’Intelligenza Artificiale.
Non andrebbero poi dimenticati gli aggiornamentil, che dovrebbero essere sempre tempestivi per rimuovere il maggior numero di vulnerabilità sfruttabili dagli utenti malevoli, così come si dovrebbe provvedere a limitare i privilegi degli utenti che operano da remoto e permettere loro l’accesso soltanto dopo averlo condizionato ad un’autenticazione multifattore.
