Cos’è il ransomware Conti?

  • Sicurezza degli endpoint
  • Novembre 20, 2024

Il ransomware Conti è un famigerato Ransomware-as-a-Service (RaaS) sviluppato dal gruppo criminale informatico russo “Wizard Spider”. Secondo le statistiche dell’FBI, il ransomware Conti ha estratto 150 milioni di dollari da oltre 1.000 vittime da quando è stato utilizzato per la prima volta nel 2019. Attualmente, Wizard Spider non dispone più della sua complessa infrastruttura e gli esperti di sicurezza informatica ritengono che il gruppo si sia sciolto nel maggio 2022. Le tensioni e le lotte interne dovute alle diverse opinioni politiche sulla guerra tra Russia e Ucraina hanno portato a una grande fuga di notizie che ha ulteriormente frammentato Wizard Spider..

Conti è stato responsabile di numerosi attacchi di alto profilo in Nord America e in Europa in diversi settori, tra cui sanità, istruzione e servizi finanziari. Uno dei maggiori attacchi è stato sferrato all’Università dello Utah nel luglio 2020. L’università ha pagato oltre 450.000 dollari per riottenere l’accesso ai sistemi critici.

Un altro attacco su larga scala si è verificato nel maggio 2021, quando gli hacker hanno infettato l’Health Service Executive (HSE) irlandese e hanno chiesto un riscatto di 20 milioni di dollari. L’attacco dell’HSE ha causato gravi disagi al sistema sanitario nazionale irlandese.

Crea e implementa una solida strategia di sicurezza IT con la nostra guida per principianti.

⬇️ Scaricala subito.

Come funziona il ransomware Conti?

Come RaaS, gli operatori di Wizard Spider gestiscono il malware mentre gli affiliati esterni vengono pagati per utilizzare il ransomware per sfruttare le vulnerabilità. Anche i dilettanti e gli hacker meno esperti possono pagare per utilizzare il ransomware Conti per eseguire attacchi ransomware complessi alle organizzazioni. Il ransomware Conti funziona più rapidamente della maggior parte dei ransomware grazie alla sua esclusiva implementazione di AES-256.

Gli affiliati e gli hacker di Wizard Spider utilizzano un approccio multiforme per infiltrarsi nei sistemi che comprende:

  • Phishing

Attraverso le tecniche di phishing e spearphishing , gli hacker cercano di indurre gli utenti a concedere l’accesso ai loro dispositivi endpoint ingannandoli con link dannosi. Il ransomware Conti utilizza tipicamente i download drive-by per eseguire la backdoor Bazar o il trojan IcedID.

  • Sfruttare le vulnerabilità

Conti può sfruttare le vulnerabilità di sicurezza nei software per ottenere un accesso non autorizzato a un dispositivo endpoint.

  • Sfruttamenti del protocollo RDP (Remote Desktop Protocol)

Gli operatori Conti possono accedere e controllare i sistemi da remoto utilizzando credenziali RDP rubate o deboli.

Una volta all’interno, il ransomware Conti sfrutta strumenti avanzati come Cobalt Strike per muoversi lateralmente all’interno delle reti, consentendo di rubare informazioni sensibili e quindi di crittografarle. Prima della crittografia, gli hacker estraggono i dati e chiedono un riscatto per decifrarli e impedirne la divulgazione. Questa doppia tecnica di estorsione spinge le vittime a pagare le richieste di riscatto.

Come proteggersi dal ransomware Conti

1. Utilizza un antivirus e un anti-malware affidabili

L’utilizzo di un software antivirus e antimalware affidabili contribuisce a rafforzare la sicurezza degli endpoint. Per migliorare ulteriormente la tua posizione di sicurezza, prendi in considerazione l’integrazione di antivirus e antimalware con strumenti di monitoraggio remoto in tempo reale e avvisi personalizzati. In questo modo sarà più facile per i professionisti della sicurezza IT rilevare i ransomware rapidamente e agire subito per risolvere i problemi e ridurre le interruzioni causate da un cyberattacco.

2. Istruisci i dipendenti

Poiché il phishing è un vettore di attacco comune per il ransomware Conti, uno dei metodi migliori per prevenire un attacco è addestrare gli utenti a identificare le e-mail false e i link dannosi.

3. Gestione delle patch

Un altro metodo di attacco standard è rappresentato dalle vulnerabilità dei software. In genere, queste vulnerabilità vengono corrette rapidamente, quindi mantenere il software e i sistemi operativi (OS) aggiornati aiuta a ridurre questo rischio. Un software di gestione automatizzata delle patch consente ai team IT di eliminare il rischio di errore umano che può portare alla mancata installazione di patch e di pianificare aggiornamenti regolari. Seguendo le best practice di gestione delle patch, i team IT possono garantire che le applicazioni e i sistemi operativi abbiano sempre le patch di sicurezza, gli hotfix e gli aggiornamenti più recenti scaricati e installati.

4. Utilizza un software di backup per proteggere i dati.

Un altro strumento fondamentale per proteggersi dalla perdita di dati a causa di attacchi ransomware è il backup regolare dei dati sensibili attraverso un software di backupUno strumento di backup e ripristino dei dati consente ai team IT di creare copie di file specifici o addirittura di interi sistemi e di proteggerli in transito e a riposo in un’archiviazione sicura per un facile recupero nel caso in cui il ransomware cripti i dati. Alcuni fornitori di software di backup, come NinjaOne, sono specializzati nel recupero da ransomware, e garantiscono un rapido ripristino dei dati e la continuità aziendale.

Adotta un approccio proattivo per difendere i dati sensibili dagli attacchi ransomware con gli strumenti di backup e gestione delle patch di NinjaOne.

Guarda una demo, oppure provali gratuitamente.

Conclusioni

Anche se Wizard Spider, come gruppo, non esiste più, il ransomware Conti e minacce informatiche simili continuano a rappresentare un pericolo e un possibile costo per le organizzazioni di tutto il mondo. L’implementazione di misure di cybersecurity come l’autenticazione a più fattori e il software anti-malware aiuta a proteggere le aziende da questi attacchi ransomware. Tuttavia, per una copertura più completa contro il ransomware Conti e altri attacchi ransomware, i team IT dovrebbero anche considerare l’impiego di un software affidabile di backup e gestione delle patch. Alcune soluzioni, come NinjaOne RMM, centralizzano tutti gli strumenti di cui i professionisti della sicurezza informatica hanno bisogno per combattere gli attacchi ransomware in una dashboard centralizzata.

Registrati per una prova gratuita di 14 giorni e scopri come NinjaOne integri soluzioni antivirus leader del settore con solidi strumenti di monitoraggio e gestione da remoto, gestione delle patch e backup in un’unica interfaccia centralizzata facile da usare.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento di erogazione dei servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Per saperne di più su NinjaOne Endpoint Management, fai un tour dal vivoinizia la tua prova gratuita della piattaforma NinjaOne.

Inizia la tua prova gratuita

Categorie:

Gestione degli endpoint
Sicurezza degli endpoint
Gestione dei servizi IT
Accesso remoto

You might also like

Cos’è la crittografia asimmetrica?

Che cos’è una violazione dei dati?

Cos’è l’attacco ransomware WannaCry?

Che cos’è un domain controller?

Che cos’è l’Intelligence sulle minacce informatiche?

Che cos’è un gateway VPN?

Che cos’è lo spoofing DNS?

Che cos’è il Secure Socket Tunneling Protocol (SSTP)?

Che cos’è un macro virus?

Che cos’è il protocollo S-HTTP (Secure Hypertext Transfer Protocol)?

Che cos’è un software di sicurezza rogue?

Che cos’è il PPTP (Point-to-Point Tunneling Protocol)?
Pronti a semplificare le parti più complesse dell'IT
Prova NinjaOne gratuitamente
Guarda una demo
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.