Wazuh – Scovare e prevenire attacchi ransomware – Part 1

Published by Lello on

Wazuh può rivelarsi utile anche nel rilevare in real-time attacchi di tipo ransomware.

Il ransomware è un tipo di virus che cripta i files della vittima; l’attaccante successivamente chiede un “riscatto” (solitamente in bitcoin) per fornire una chiave di decriptazione tramite la quale riuscire a recuperare i files criptati.

Nella maggior parte delle volte non serve a nulla pagare il riscatto, in quanto:

  • la chiave per la decriptazione non funziona ;
  • non viene mai fornita una chiave di decrittografia.

Inutile dire che sarà anche impossibile contattare l’autore dell’aggressione per eventuali chiarimenti …

L’unico rimedio a disposizione per sopravvivere ad un attacco (riuscito) di tipo ransomware, è quello di ripristinare tutto (server e dati) tramite copie di backup. Se non si hanno copie di backup, vuol dire che i vostri dati non sono in fondo così importanti 😉

Ricordatevi che periodicamente occorre effettuare dei restore dai backup al fine di vericarne il corretto funzionamento.

Come vettori per la diffusione del ransomware si usano spesso attacchi di tipo phishing: allegati che arrivano nella mail di un utente mascherati da file con cui hanno confidenza; ad esempio, si potrebbe nascondere il virus all’interno di un file in formato excel che viene chiamato “fattura.xlsx” e inviato al reparto amministrazione di un’azienda. Una volta aperto, il virus si attiva e comincia ad installare sul computer pezzi di codice spesso scaricati da internet.

Una volta che il virus si è auto-installato, comincia a moltiplicarsi (esattamente come fanno i virus) : comincia a cercare nella vostra rete altri PC/server da infettare, scansiona i destinatari delle vostre email e si auto-invia a terzi. Spesso questi virus rimangono silenti per diverso tempo, anche mesi, aspettando di riuscire a carpire delle credenziali di tipo amministrativo sulla rete con cui possono espletare il maggior danno possibile.

Ma come evitare il malware? Difficile dire in poche parole, ma sicuramente:

  • mantenere i sistemi operativi aggiornati con le ultime patch rilasciate dal produttore;
  • non installare software non conosciuto o di dubbia provenienza, soprattutto se richiede privilegi amministrativi;
  • installare un buon antivirus di rete (e tenerlo aggiornato);
  • backup, backup e ancora backup (che devono essere isolati e NON essere in alcun modo accessibili ai computer della rete).

Possiamo riassumere le principali azioni che un ransomware compie in tre punti:

  1. lettura di un file;
  2. creazione di un nuovo file contenente la versione crittografata del file letto;
  3. cancellazione del file in chiaro.

Tali step vengono ripetuti per quanti più files possibili, per cercare di aumentare il disagio arrecato alla vittima e la difficoltà di quest’ultimo a recuperare i files originali (pensate se il ransomware riuscisse a colpire anche le copie di backup: il danno diventerebbe assoluto).

Un attacco di tipo ransomware può essere scovato in real-time da Wazuh, grazie al monitoraggio del file system al fine di capire se vengono aggiunti, modificati o cancellati files.

Prima di procedere con l’analisi dell’attacco, verifichiamo che il nostro sistema abbia il sistema di auditing attivo (l’auditing sarà quello che offrirà informazioni aggiuntive a Wazuh per scovare l’attacco):

# dnf -y install audit
# systemctl enable --now auditd

Procediamo con la simulazione ed all’analisi dell’attacco.

← Wazuh – Pro-active response – Examples

Wazuh – Scovare e prevenire attacchi ransomware – Part 2 →