{"id":147899,"date":"2022-07-20T10:50:06","date_gmt":"2022-07-20T10:50:06","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/come-individuare-i-ransomware\/"},"modified":"2025-12-29T05:21:47","modified_gmt":"2025-12-29T05:21:47","slug":"come-individuare-i-ransomware","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/come-individuare-i-ransomware\/","title":{"rendered":"Come individuare i ransomware: 12 opportunit\u00e0 per automatizzare monitoraggio e avvisi"},"content":{"rendered":"<div class=\"in-context-cta\"><h2 style=\"text-align: left;\">Punti chiave<\/h2>\n<h3 style=\"text-align: left;\">Come individuare i ransomware<\/h3>\n<ul style=\"text-align: left;\">\n<li><strong>Il rilevamento precoce \u00e8 la chiave per fermare i ransomware: <\/strong>La maggior parte degli attacchi ransomware aumenta il suo impatto in poche ore. Rilevare i segnali di accesso iniziale come phishing, RDP esposto o script sospetti, \u00e8 fondamentale.<\/li>\n<li><strong>Monitora 12 indicatori ad alto impatto in tutta la catena di attacco: <\/strong>Tieni traccia di comportamenti come l&#8217;accesso LSASS, la creazione di attivit\u00e0 pianificate, la manomissione di AV, la scansione delle porte e il traffico in uscita insolito per individuare tempestivamente le minacce.<\/li>\n<li><strong>Automatizza gli avvisi con gli strumenti di gestione degli endpoint: <\/strong>Utilizza strumenti RMM come NinjaOne per distribuire script di rilevamento, attivare avvisi e automatizzare la risposta agli incidenti su tutti gli endpoint.<\/li>\n<li><strong>Il monitoraggio basato sul comportamento \u00e8 un approccio pi\u00f9 efficace del rilevamento delle firme: <\/strong>Affidarsi esclusivamente all&#8217;antivirus non \u00e8 sufficiente. Monitora le tattiche degli aggressori, come l&#8217;uso di PsExec o di strumenti remoti non autorizzati, per rafforzare la difesa.<\/li>\n<\/ul>\n<p style=\"text-align: left;\"><strong>Una protezione scalabile e allo stesso tempo accessibile dal punto di vista dei costi \u00e8 possibile: <\/strong>Molti metodi di rilevamento utilizzano strumenti gratuiti, log di eventi e strumenti opern source per creare regole, e questo rende accessibile anche alle PMI un monitoraggio efficace dei ransomware.<\/p>\n<\/div>\n<p>Sono trascorsi cinque anni da quando l&#8217;epidemia di <a href=\"https:\/\/en.wikipedia.org\/wiki\/WannaCry_ransomware_attack\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a> ha contribuito a rendere il <a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-il-ransomware\/\">ransomware<\/a> un nome familiare. Per certi versi, sembra essere passata una vita. Esempio: La differenza tra cifre da capogiro citate nei report odierni e alcune delle statistiche del 2017 relative ai ransomware sono impressionanti.<\/p>\n<ul>\n<li>Nel secondo trimestre del 2017, la richiesta media di riscatto \u00e8 stata stimata <a href=\"https:\/\/www.statista.com\/statistics\/701003\/average-amount-of-ransom-requested-to-msp-clients\/#:~:text=Amount%20of%20ransom%20demanded%20during%20ransomware%20attacks%202017&amp;text=According%20to%20the%20survey%2C%2047,500%20and%202%2C000%20U.S.%20dollars.\" target=\"_blank\" rel=\"noopener\">tra 501 e 2.000 dollari<\/a>. Secondo Coveware, nel primo trimestre del 2024 il <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/ransomware-payments-drop-to-record-low-of-28-percent-in-q1-2024\/\" target=\"_blank\" rel=\"noopener\">pagamento medio del riscatto \u00e8 stato di 381.980 dollari<\/a>.<\/li>\n<li>Nel 2017, Cybersecurity Ventures ha stimato che il costo totale dei danni causati da ransomware avrebbe <a href=\"https:\/\/cybersecurityventures.com\/ransomware-damage-report-2017-5-billion\/\" target=\"_blank\" rel=\"noopener\">raggiunto i 5 miliardi di dollari per quell\u2019anno<\/a>. Il loro ultimo rapporto stima che i <a href=\"https:\/\/cybersecurityventures.com\/global-ransomware-damage-costs-predicted-to-reach-250-billion-usd-by-2031\/\" target=\"_blank\" rel=\"noopener\">costi annuali totali nel 2025 potrebbero raggiungere i 57 miliardi di dollari<\/a>.<\/li>\n<\/ul>\n<p>Ovviamente, molte cose sono cambiate e, con miliardi di dollari in gioco, dire che gli attacchi ransomware di oggi sono maturati ed evoluti \u00e8 un eufemismo.<\/p>\n<p>Come afferma il ricercatore di sicurezza Kevin Beaumont in un post sul blog che tutti dovrebbero leggere:<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><strong>&#8220;Un gruppo di ransomware <a href=\"https:\/\/www.bloomberg.com\/news\/articles\/2021-05-20\/cna-financial-paid-40-million-in-ransom-after-march-cyberattack\" target=\"_blank\" rel=\"noopener\">che viene pagato 40 milioni di dollari per attaccare una compagnia assicurativa per la sicurezza informatica<\/a> offre agli hacker un budget maggiore per lanciare un attacco informatico rispetto a quello che la maggior parte delle organizzazioni di medie e grandi dimensioni possiede complessivamente per difendersi dagli attacchi. E si tratta di un solo attacco, da parte di un solo gruppo, che \u00e8 a malapena diventato una notizia&#8221;.<\/strong><\/p>\n<p>\u2014 Kevin Beaumont, <a href=\"https:\/\/doublepulsar.com\/the-hard-truth-about-ransomware-we-arent-prepared-it-s-a-battle-with-new-rules-and-it-hasn-t-a93ad3030a54\" target=\"_blank\" rel=\"noopener\">&#8220;The Hard Truth about Ransomware&#8221;<\/a><\/p><\/blockquote>\n<p>&nbsp;<\/p>\n<p>\u00c8 una situazione che fa riflettere, ma prima di farsi tentare dal voler tornare ai giorni &#8220;pi\u00f9 semplici&#8221; del 2017, vale la pena di considerare che, per quanto le cose siano cambiate in questi otto anni, ci sono anche molte cose che sono rimaste uguali.<\/p>\n<p>S\u00ec, l&#8217;ecosistema del crimine informatico \u00e8 esploso intorno al ransomware e, naturalmente, i gruppi di attacco hanno accumulato tantissimi fondi per l&#8217;acquisto di zero day e per <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-30-introduces-the-first-ransomware-bug-bounty-program\/\" target=\"_blank\" rel=\"noopener\">il lancio di programmi bug bounty<\/a>. Ma la verit\u00e0 \u00e8 che, nonostante tutto ci\u00f2, la maggior parte degli attacchi continua a prendere di mira le vittime pi\u00f9 facili. Perch\u00e9 utilizzare strategie sofisticate e fantasiose quando \u00e8 ancora possibile attaccare molte persone con i metodi di base?<\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Colonial Pipeline? <\/span><a href=\"https:\/\/www.crn.com\/news\/security\/colonial-pipeline-hacked-via-inactive-account-without-mfa\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Hackerato tramite un account inattivo senza MFA.<\/span><\/a><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Servizi sanitari irlandesi? <\/span><a href=\"https:\/\/www.hse.ie\/eng\/services\/publications\/conti-cyber-attack-on-the-hse-full-report.pdf\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Tramite un documento Excel dannoso.<\/span><\/a><span style=\"font-weight: 400;\">\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Accesso per 5 mesi a un&#8217;agenzia governativa statunitense da parte della banda del ransomware LockBit? <\/span><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Tutto a causa di un RDP esposto.<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\">Attacco ransomware da 50 milioni di dollari al colosso dei PC Acer? <a href=\"https:\/\/www.crn.com\/news\/security\/revil-ransomware-targets-acer-s-microsoft-exchange-server-source\" target=\"_blank\" rel=\"noopener\">Grazie a una vulnerabilit\u00e0 priva di patch di Microsoft Exchange.<\/a><\/li>\n<\/ul>\n<p>S\u00ec, la prevenzione \u00e8 difficile per le organizzazioni di oggi, ma d&#8217;altra parte lo \u00e8 sempre stata e non sono del tutto convinto che oggi sia <em>esponenzialmente<\/em> pi\u00f9 difficile rispetto a otto anni fa. La verit\u00e0 \u00e8 che pratiche di sicurezza solide e un hardening degli endpoint di base possono fare la differenza per le PMI.<\/p>\n<p>E anche se questo post riguarda il rilevamento, vale lo stesso discorso. La maggior parte delle organizzazioni avr\u00e0 comunque bisogno di risorse dedicate (interne o esterne) per implementare e monitorare attivamente le attivit\u00e0 di rilevamento che tratteremo qui, ma le difficolt\u00e0 per iniziare non sono necessariamente alte, almeno non tanto quanto alcuni fornitori di strumenti di sicurezza vorrebbero far credere.<\/p>\n<p>Ecco un esempio: Di seguito sono riportate 12 buone idee di base per il rilevamento del ransomware che possono darti risultati senza costare una fortuna.<\/p>\n<p>Analizziamole.<\/p>\n<p>Se preferisci, puoi anche guardare un video sul tema: <a href=\"https:\/\/www.ninjaone.com\/videos\/security\/how-to-detect-ransomware-monitoring-and-alerting\/\">Come individuare i ransomware: Monitoraggio e avvisi.<\/a><\/p>\n<h2>Come individuare i ransomware<\/h2>\n<p>Innanzitutto, dobbiamo ammettere che cercare di rilevare l&#8217;attivit\u00e0 di un ransomware dopo che \u00e8 stato eseguito (eseguibili dei ransomware gi\u00e0 operativi che criptano dati) \u00e8 una partita persa. Alcune delle varianti di ransomware pi\u00f9 prolifiche possono <a href=\"https:\/\/www.zdnet.com\/article\/this-is-how-fast-a-ransomware-attack-encrypts-all-your-files\/\" target=\"_blank\" rel=\"noopener\">crittografare 100.000 file in meno di cinque minuti<\/a>.<\/p>\n<p>I tentativi di individuazione e reazione a cambiamenti improvvisi e in massa nei nomi dei file e altro sono spesso troppo pochi e troppo tardivi.<\/p>\n<p>I sistemi AV\/EDR sono ovviamente progettati per bloccare gli eseguibili del ransomware, ma le percentuali di rilevamento\/blocco non sono perfette. Anche se riescono a bloccare un eseguibile, non risolvono il problema dell&#8217;accesso degli aggressori. Se falliscono una volta, ci riproveranno.<\/p>\n<p>Gli aggressori sfruttano inoltre abitualmente strumenti e playbook progettati per ottenere privilegi elevati per\u00a0disabilitare gli strumenti di sicurezza (e i backup).<\/p>\n<p>Ecco perch\u00e9 il momento migliore per rilevare e interrompere gli attacchi \u00e8 all&#8217;inizio, idealmente quando si verificano tentativi, spesso automatizzati, di connessione ai sistemi. Bloccare gli attacchi sul nascere \u00e8 molto pi\u00f9 facile che affrontare la fase successiva, quando si ha a che fare con un vero hacker umano che utilizza strategie collaudate e numerosi strumenti in grado di mappare rapidamente la rete e di prenderne il pieno controllo.<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><strong>Quindi, quando parliamo di rilevamento dei ransomware, la domanda migliore da porre \u00e8: &#8220;Come si rilevano i <em>primi segnali di allarme di una compromissione<\/em> che potrebbe <em>portare<\/em> rapidamente a un ransomware?&#8221;<\/strong><\/p><\/blockquote>\n<p>&nbsp;<\/p>\n<p>La parte pi\u00f9 importante qui \u00e8 &#8220;rapidamente&#8221;, in quanto i report mostrano che, dopo l&#8217;accesso iniziale, il ransomware pu\u00f2 essere distribuito giorni o addirittura appena qualche ora dopo.<\/p>\n<p>Per esempio, gruppi come Black Basta e Clop sono noti per distribuire i payload in meno di 4 ore.<\/p>\n<p>Consulta il report di The DFIR Report, &#8220;<a href=\"https:\/\/thedfirreport.com\/2021\/10\/18\/icedid-to-xinglocker-ransomware-in-24-hours\/\" target=\"_blank\" rel=\"noopener\">IcedID to XingLocker ransomware in 24 hours<\/a>&#8221; e &#8220;<a href=\"https:\/\/thedfirreport.com\/2020\/08\/31\/netwalker-ransomware-in-1-hour\/\" target=\"_blank\" rel=\"noopener\">Netwalker Ransomware in 1 Hour<\/a>&#8220;.<\/p>\n<p>Con cos\u00ec poco tempo a disposizione per individuare la minaccia e reagire, \u00e8 fondamentale disporre di strumenti e professionisti esperti che monitorino attivamente i sistemi e siano pronti a rispondere (preferibilmente sfruttando l&#8217;automazione).<\/p>\n<h2>Quali sono i segnali di ransomware e le buone opportunit\u00e0 per rilevarli?<\/h2>\n<p>La buona notizia \u00e8 che anche se esistono molti gruppi di attacco e varianti, la maggior parte si basa ancora su playbook e strumenti noti. Grazie al lavoro di ricercatori come quelli di <a href=\"https:\/\/thedfirreport.com\/\" target=\"_blank\" rel=\"noopener\">The DFIR Report<\/a> e altri, i difensori possono imparare i TTP pi\u00f9 comuni e costruire meccanismi di rilevamento di conseguenza.<\/p>\n<p>Di seguito \u00e8 riportato un elenco di opportunit\u00e0 di rilevamento mappate in base agli schemi di attacco ransomware pi\u00f9 comuni (un grande ringraziamento va all&#8217;articolo <a href=\"https:\/\/thedfirreport.com\/2022\/03\/07\/2021-year-in-review\/\" target=\"_blank\" rel=\"noopener\">&#8220;2021 Year In Review&#8221; di The DFIR Report<\/a>). Non si tratta di un elenco esaustivo, ma dovrebbe fornire alcune indicazioni utili per iniziare.<\/p>\n<p>Se stai usando una <a href=\"https:\/\/www.ninjaone.com\/it\/gestione-endpoint\/\">soluzione di gestione degli endpoint<\/a> o un <a href=\"https:\/\/www.ninjaone.com\/it\/rmm\/\">RMM<\/a> come NinjaOne, puoi creare condizioni di monitoraggio e di avviso per molti di questi rilevamenti che possono essere facilmente distribuiti agli endpoint, risparmiando a te e al tuo team il lavoro manuale. Puoi anche sviluppare azioni automatizzate da attivare tramite avvisi, come la reinstallazione\/il riavvio automatico dei processi AV\/EDR se identificati come mancanti\/disabilitati.<\/p>\n<p>Se vuoi fare ancora di pi\u00f9, The DFIR Report ha anche condiviso <a href=\"https:\/\/thedfirreport.com\/2022\/06\/16\/sans-ransomware-summit-2022-can-you-detect-this\/\" target=\"_blank\" rel=\"noopener\">tantissime Sigma Rules estremamente utili<\/a> che puoi utilizzare con <a href=\"https:\/\/labs.f-secure.com\/tools\/chainsaw\/\" target=\"_blank\" rel=\"noopener\">Chainsaw, uno strumento open source gratuito di F-Secure Labs<\/a> che consente di analizzare rapidamente i log eventi e rilevare segnali sospetti che possono indicare un attacco in corso.<\/p>\n<div class=\"in-context-cta\"><p><strong><a href=\"https:\/\/www.ninjaone.com\/it\/resource\/checklist-per-hardening-degli-endpoint\/\">\u2192 Download gratuito: Checklist per l&#8217;hardening degli endpoint<\/a><\/strong><\/p>\n<\/div>\n<h2>Tipi di tattiche ransomware e come rilevarle: opportunit\u00e0 di rilevamento in base alla fase di attacco<\/h2>\n<h3>Accesso iniziale<\/h3>\n<p><strong>1) Segnalazioni di e-mail sospette da parte degli utenti finali:<\/strong> Non hanno le prime pagine dei giornali come le vulnerabilit\u00e0 zero-day, ma le comuni e-mail dannose progettate per indurre gli utenti a scaricare ed eseguire <a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-malware-as-a-service\/\">malware<\/a> continuano a essere <a href=\"https:\/\/www.coveware.com\/blog\/2022\/5\/3\/ransomware-threat-actors-pivot-from-big-game-to-big-shame-hunting\" target=\"_blank\" rel=\"noopener\">uno dei vettori di attacco iniziale pi\u00f9 comuni<\/a>. Perch\u00e9? Perch\u00e9 funzionano ancora.<\/p>\n<ul>\n<li><strong>Come rilevare e-mail sospette:<\/strong> Le organizzazioni devono fornire ai dipendenti una formazione sulla consapevolezza in materia di sicurezza e creare una cultura in cui i dipendenti siano attivamente incoraggiati e premiati per la segnalazione di e-mail sospette e potenziali errori senza timore di essere puniti.<\/li>\n<\/ul>\n<p><strong>2) Connessioni RDP sospette:<\/strong> L&#8217;<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cose-remote-desktop-protocol-rdp\/\">RDP<\/a> esposto \u00e8 un altro vettore di attacco che alcuni addetti alla sicurezza e all&#8217;IT potrebbero ignorare, ma che continua a essere uno dei principali punti di compromissione iniziale per gli incidenti ransomware.<\/p>\n<ul>\n<li><strong>Come rilevare connessioni RDP sospette:<\/strong> Questo articolo di NCCGroup spiega <a href=\"https:\/\/research.nccgroup.com\/2021\/10\/21\/detecting-and-protecting-when-remote-desktop-protocol-rdp-is-open-to-the-internet\/\" target=\"_blank\" rel=\"noopener\">come acquisire eventi di registro \u201clow-noise\u201d<\/a> relativi alle sessioni RDP tentate e andate a buon fine. Inoltre, <a href=\"https:\/\/www.cyberdrain.com\/documenting-with-powershell-documenting-remote-access\/\" target=\"_blank\" rel=\"noopener\">questo script dell&#8217;esperto di PowerShell Kelvin Tegelaar<\/a> si spinge oltre, documentando se una serie di strumenti di accesso remoto sono installati (Remote Desktop, Teamviewer, Connectwise ScreenConnect e altri) e registrando quando c\u2019\u00e8 stata una connessione riuscita.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Persistenza<\/h3>\n<p><strong>1) Creazione di attivit\u00e0 pianificate sospette<\/strong>: Si tratta di uno dei modi pi\u00f9 comuni con cui gli hacker ottengono la persistenza su un sistema.<\/p>\n<ul>\n<li><strong>Come rilevare la creazione di attivit\u00e0 pianificate sospette<\/strong>: Monitora e invia avvisi relativi a questo problema tenendo traccia degli ID evento 4698 e 4700 di Windows o <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-chapter-3-monitoring-creation-of-scheduled-tasks\/\" target=\"_blank\" rel=\"noopener\">utilizzando lo script di Kelvin Tegelaar su PowerShell, disponibile qui<\/a>.<\/li>\n<\/ul>\n<p><strong>2) Software di accesso remoto inatteso:<\/strong> Un&#8217;altra tattica sempre pi\u00f9 utilizzata prevede l&#8217;installazione da parte degli hacker di software di terze parti, come AnyDesk (il pi\u00f9 utilizzato in assoluto), Atera, TeamViewer e Splashtop.<\/p>\n<ul>\n<li><strong>Come rilevare un software di accesso remoto inaspettato:<\/strong> Si tratta di strumenti molto diffusi tra gli MSP, ma se non stai sfruttando nessuno di essi, \u00e8 una buona idea monitorare regolarmente la loro presenza e segnalarli. Anche in questo caso \u00e8 possibile utilizzare lo script di Kelvin (vedere il commento di Luke Whitlock\u00a0per una modifica che controlla AnyDesk).<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Inoltre, puoi anche monitorare l&#8217;ID evento 7045 di Windows.\u00a0 <\/span><\/p>\n<p>&nbsp;<\/p>\n<h3>Escalation dei privilegi\/accesso alle credenziali<\/h3>\n<p><strong>1) Estrazione delle credenziali dal sottosistema autorit\u00e0 di sicurezza locale di Windows (LSASS):<\/strong> Anche se gli aggressori possono provare a ottenere le credenziali in altri modi, questo \u00e8 di gran lunga uno dei pi\u00f9 comuni.<\/p>\n<ul>\n<li><strong>Come rilevare l&#8217;abuso di LSASS:<\/strong> Un metodo efficace per monitorare o bloccare i tentativi di furto di credenziali da LSASS consiste nell&#8217;applicazione delle <a href=\"https:\/\/docs.microsoft.com\/en-us\/microsoft-365\/security\/defender-endpoint\/attack-surface-reduction-rules-reference?view=o365-worldwide#block-credential-stealing-from-the-windows-local-security-authority-subsystem\" target=\"_blank\" rel=\"noopener\">regole di Attack Surface Reduction (ASR) di Microsoft<\/a> (\u00e8 richiesta la build 1709 di Windows 10\/build 1809 di Windows Server o versioni successive). Nota a margine: Altre regole ASR sono ottime per bloccare vari tentativi comuni di eseguire un codice dannoso e ottenere l&#8217;accesso iniziale (per esempio impedire ai programmi di Office di creare processi secondari, a JavaScript o VBScript di avviare contenuti eseguibili scaricati ecc.). Consulta questo articolo del team di sicurezza di Palantir in cui condivide la propria <a href=\"https:\/\/blog.palantir.com\/microsoft-defender-attack-surface-reduction-recommendations-a5c7d41c3cf8\" target=\"_blank\" rel=\"noopener\">valutazione dell&#8217;impatto delle regole ASR e le impostazioni consigliate<\/a>. Molti strumenti EDR, inoltre, offrono funzionalit\u00e0 di blocco e rilevamento simili per proteggere LSASS.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Evasione della difesa<\/h3>\n<p><b>1) Disabilitare\/disinstallare l&#8217;antivirus e altri strumenti di sicurezza:<\/b><span style=\"font-weight: 400;\"> Perch\u00e9 preoccuparsi di aggirare gli strumenti di sicurezza quando si possono semplicemente disabilitare?<\/span><\/p>\n<ul>\n<li><b>Come rilevare le manomissioni dell&#8217;antivirus:<\/b><a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-chapter-2-anti-virus-installation-status\/\" target=\"_blank\" rel=\"noopener\"> <span style=\"font-weight: 400;\">Dai un&#8217;occhiata a questo script di Kelvin Tegelaar<\/span><\/a><span style=\"font-weight: 400;\"> o, se ne hai uno,<\/span><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/lista-di-controllo-del-monitoraggio-msp\/\"> <span style=\"font-weight: 400;\">sfrutta il tuo RMM<\/span><\/a><span style=\"font-weight: 400;\"> per controllare regolarmente se gli strumenti di sicurezza sono installati e\/o in esecuzione.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Individuazione<\/h3>\n<p><b>1) Uso inaspettato di strumenti per la scansione delle porte e di <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/cosa-e-individuazione-della-rete\/\">network discovery<\/a>: <\/b><span style=\"font-weight: 400;\">Una volta stabilita una connessione, gli hacker devono guardarsi intorno per vedere dove si trovano e individuare le migliori opportunit\u00e0 di movimento laterale. Molti sfruttano le utility integrate di Windows, come nltest.exe, ipconfig, whoami, ecc., nonch\u00e9 ADFind. Altri utilizzano strumenti di scansione delle porte, come Advanced IP Scanner.<\/span><\/p>\n<ul>\n<li><strong>Come rilevare strumenti per la scansione delle porte e di ricognizione sospetti:<\/strong> Come nel caso degli strumenti di accesso remoto, puoi utilizzare il monitoraggio e creare avvisi e regole di automazione per bloccarli in modo proattivo.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Movimento laterale<\/h3>\n<p><b>1) Sospetto utilizzo di Cobalt Strike: <\/b><span style=\"font-weight: 400;\">Cobalt Strike \u00e8 un &#8220;software di simulazione dell&#8217;avversario&#8221; che purtroppo \u00e8 diventato famoso tra gli hacker tanto quanto tra i penetration tester, a cui era destinato. Semplifica incredibilmente l&#8217;esecuzione di un&#8217;ampia variet\u00e0 di tattiche post-exploitation e risulta spesso come uno strumento utilizzato in modo improprio negli incidenti di ransomware.<\/span><\/p>\n<ul>\n<li><strong>Come rilevare Cobalt Strike:<\/strong> Molti strumenti EDR e di sicurezza danno la possibilit\u00e0 di rilevare l&#8217;uso di Cobalt Strike. <a href=\"https:\/\/github.com\/MichaelKoczwara\/Awesome-CobaltStrike-Defence\" target=\"_blank\" rel=\"noopener\">Qui trovi un&#8217;ottima raccolta di risorse che ti permette di effettuare questa operazione.<\/a><\/li>\n<\/ul>\n<p><b>2) Software di accesso remoto inattesi: <\/b><span style=\"font-weight: 400;\">Consulta la sezione sull&#8217;accesso remoto nel paragrafo &#8220;Persistenza&#8221;.<\/span><\/p>\n<p><b>3) Connessioni di accesso remoto sospette:<\/b><span style=\"font-weight: 400;\"> Potrebbero includere l&#8217;uso di RDP, SMB, VNC e altro ancora. <\/span><\/p>\n<ul>\n<li><strong>Come rilevare le connessioni di accesso remoto sospette:<\/strong> Consulta questo <a href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/\" target=\"_blank\" rel=\"noopener\">elenco di idee per il monitoraggio del MITRE<\/a> (per esempio la creazione di connessioni di rete, l\u2019accesso a <a href=\"https:\/\/www.ninjaone.com\/it\/blog\/eliminare-una-condivisione-di-rete-su-windows\/\">condivisioni di rete<\/a> ecc.) per approfondire le tecniche secondarie per ottenere informazioni sull\u2019utilizzo improprio di RDP, SMB, VNC, SSH ecc.<\/li>\n<\/ul>\n<p><b>4) Uso sospetto di PsExec: <\/b><span style=\"font-weight: 400;\">PsExec \u00e8 un altro strumento nativo di Microsoft di cui gli hacker hanno iniziato ad abusare. Consente di eseguire comandi o script da remoto come SISTEMA.<\/span><\/p>\n<ul>\n<li><strong>Come rilevare l&#8217;abuso di PsExec:<\/strong> Il nostro amico <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-monitoring-psexec-execution\/\" target=\"_blank\" rel=\"noopener\">Kelvin suggerisce uno script anche per questo<\/a> (ovviamente). Puoi trovare <a href=\"https:\/\/www.praetorian.com\/blog\/threat-hunting-how-to-detect-psexec\/\" target=\"_blank\" rel=\"noopener\">qui altri ID evento Windows e modifiche al registro da monitorare<\/a>.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Esfiltrazione di dati<\/h3>\n<p><b>1) Connessioni in uscita e picchi di traffico sospetti:<\/b><span style=\"font-weight: 400;\"> Per avere la possibilit\u00e0 di mettere maggiore pressione sulle vittime, i malintenzionati sempre pi\u00f9 spesso prima di criptare i dati li esfiltrano. In questo modo, possono minacciare anche di vendere i dati o di pubblicarli in rete. <\/span><\/p>\n<ul>\n<li><strong>Come rilevare l&#8217;esfiltrazione dei dati:<\/strong> Gli indicatori di una potenziale esfiltrazione di dati possono includere grandi picchi di traffico in uscita, connessioni impreviste a indirizzi IP pubblici, porte utilizzate in modo insolito, volumi elevati di query DNS, estensioni di file di origine sospette (.rar, .7z, .zip, ecc.) e altro ancora. Il monitoraggio della rete e le regole del firewall possono essere di grande aiuto in questo caso. Per altre idee, consulta la <a href=\"https:\/\/attack.mitre.org\/tactics\/TA0010\/\" target=\"_blank\" rel=\"noopener\">sezione &#8220;Esfiltrazione&#8221; di MITRE ATT&amp;CK<\/a>.<\/li>\n<\/ul>\n<p><b>2) Abuso di strumenti di trasferimento di file integrati e open source:<\/b><span style=\"font-weight: 400;\"> I malintenzionati adorano utilizzare strumenti altrimenti legittimi, poich\u00e9 riescono a passare inosservati. Per l&#8217;esfiltrazione dei dati, questi includono Microsoft BITS, curl.exe, Rclone, Mega (MegaSync e MegaCmd) e altri ancora.<\/span><\/p>\n<ul>\n<li><strong>Come rilevare un uso sospetto del trasferimento dei file:<\/strong> Sebbene gli hacker possano prendersi la briga di rinominare questi programmi, alcuni semplicemente non lo fanno, quindi il blocco e\/o il monitoraggio e l&#8217;avviso del loro utilizzo sono un buon punto di partenza. Per idee di rilevamento pi\u00f9 avanzate\/granulari, consulta le seguenti risorse: <a href=\"https:\/\/research.nccgroup.com\/2021\/05\/27\/detecting-rclone-an-effective-tool-for-exfiltration\/\" target=\"_blank\" rel=\"noopener\">rilevare Rclone<\/a>, <a href=\"https:\/\/redcanary.com\/blog\/rclone-mega-extortion\/\" target=\"_blank\" rel=\"noopener\">rilevare Mega e Rclone<\/a> e <a href=\"https:\/\/attack.mitre.org\/techniques\/T1197\/\" target=\"_blank\" rel=\"noopener\">MITRE ATT&amp;CK ID T1197<\/a>.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2>Aggiunta di un livello di rilevamento di ransomware gestibile e scalabile<\/h2>\n<p><span style=\"font-weight: 400;\">Il monitoraggio attivo e gli avvisi relativi a questo tipo di attivit\u00e0 possono essere un problema per le organizzazioni che non dispongono di risorse dedicate e qualificate. In molti casi, esternalizzare la collaborazione con gli esperti giusti pu\u00f2 essere la soluzione. <\/span><\/p>\n<p><span style=\"font-weight: 400;\">Per altri esempi di automazioni disponibili per i team IT su NinjaOne, consulta <\/span><a href=\"https:\/\/www.ninjaone.com\/it\/blog\/lista-di-controllo-del-monitoraggio-msp\/\"><span style=\"font-weight: 400;\">&#8220;Cosa dovresti monitorare con il tuo RMM? 28 suggerimenti&#8221;.<\/span><\/a><\/p>\n<p><span style=\"font-weight: 400;\">NinjaOne collabora anche con Bitdefender per fornire una soluzione integrata anti-ransomware come parte della sua piattaforma di gestione IT unificata (UITO). Includendo<\/span><span style=\"font-weight: 400;\"> NinjaOne + Bitdefender GravityZone + NinjaOne Documentation, il pacchetto <a href=\"https:\/\/www.ninjaone.com\/it\/ransomware\/\">NinjaOne Protect<\/a> aiuta a prevenire, rilevare e rispondere agli attacchi ransomware, riducendo potenzialmente l&#8217;impatto del ransomware sulla vostra azienda <\/span>.<\/p>\n<p><span style=\"font-weight: 400;\">Iscriviti per una <\/span><a href=\"https:\/\/www.ninjaone.com\/it\/prova-gratuita\/\"><span style=\"font-weight: 400;\">prova gratuita<\/span><\/a><span style=\"font-weight: 400;\"> di NinjaOne Protect oggi stesso. <\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sono trascorsi cinque anni da quando l&#8217;epidemia di WannaCry ha contribuito a rendere il ransomware un nome familiare. Per certi versi, sembra essere passata una vita. Esempio: La differenza tra cifre da capogiro citate nei report odierni e alcune delle statistiche del 2017 relative ai ransomware sono impressionanti. Nel secondo trimestre del 2017, la richiesta [&hellip;]<\/p>\n","protected":false},"author":28,"featured_media":260704,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4367],"tags":[],"class_list":["post-147899","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza"],"acf":[],"modified_by":"Sergio Oricci","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/147899","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/comments?post=147899"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/147899\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media\/260704"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=147899"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/categories?post=147899"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/tags?post=147899"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}