Aggiornamenti recenti Aprile 15th, 2025 9:37 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Slopsquatting: quando l’IA consiglia pacchetti che non esistono
- Cambiare password di admin da remoto: la nuova vulnerabilità di FortiSwitch
- CERT-AGID 5-11 APRILE: MintLoader e AsyncRAT protagonisti di due campagne malspam
- Identità non umane: la nuova emergenza per i segreti aziendali
- Shuckworm prende di mira le missioni in Ucraina con device rimovibili
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Slopsquatting: quando l’IA consiglia pacchetti che non esistono
Il ransomware Crysis distribuito nelle aziende tramite RDP
Prima un attacco di brute forcing per accedere ai servizi di remote Desktop, poi l’installazione di un ransomware sul PC compromesso.
Gli attacchi ransomware, negli ultimi mesi, si stanno concentrando sempre di più sulle aziende. Il motivo è semplice: le imprese sono quelle che subiscono maggiori danni dalla perdita dei dati e sono quindi più facilmente ricattabili.
Non solo: se i pirati riescono a prendere in ostaggio file particolarmente “sensibili”, possono sperare di estorcere somme di denaro decisamente superiori rispetto a quelle che potrebbero ottenere da un qualsiasi privato cittadino.
Colpire le aziende, però, non è facile: da quando i ransomware sono diventati una vera emergenza globale, gli uffici si stanno (lentamente) attrezzando per formare i loro impiegati in modo da evitare gli attacchi basati sull’invio di allegati email infetti.
Forse proprio per questo motivo, alcuni gruppi di cyber-criminali hanno inaugurato una strategia di attacco che sfrutta una vulnerabilità diversa dei sistemi aziendali: i sistemi di Remote Desktop.
A lanciare l’allarme è Trend Micro, che negli ultimi mesi ha registrato un aumento di attacchi che sfruttano il Remote Desktop Protocol (RDP) per installare ransomware sui computer aziendali.
Il software malevolo viene caricato in una cartella condivisa con la macchina che verrà compromessa.
La campagna analizzata dai ricercatori Trend Micro è quella collegata alla diffusione del ransomware Crysis, che ha interessato in una prima fase solo alcune aziende in Australia e Nuova Zelanda.
Il modus operandi dei cyber-criminali è sempre lo stesso: una volta individuate le macchine che hanno un sistema di controllo remoto attivo, avviano un attacco di brute forcing che utilizza le più comuni combinazioni di username e password per ottenere l’accesso al terminale.
Una volta aperta la strada, provano differenti payload fino a individuare quello che gli consente di installare il ransomware e avviare la crittografia dei dati presenti sulla macchina. In alcuni dei casi analizzati, i pirati hanno caricato sullo stesso PC sei versioni diverse del ransomware.
Secondo Trend Micro, nel mese di gennaio lo stesso gruppo responsabile degli attacchi in Australia e Nuova Zelanda avrebbe alzato il tiro, colpendo numerose aziende in tutto il mondo. Nel primo mese dell’anno, infatti, le azioni di questo tipo registrate dai ricercatori sono raddoppiate rispetto al 2016.
Condividi l'articolo
Google: 20 mln di dollari per violazione di brevetti
WordPress: ora i pirati usano la falla per installare backdoor
Articoli correlati
Altro in questa categoria
Approfondimenti
Minacce recenti
Off topic
Post recenti
Ransomware: la serie
No posts found.
