Il ransomware CommonRansom chiede di accedere all'RDP per decriptare i file



 
E' stato individuato un nuovo ransomware, chiamato CommonRansom e che si contraddistingue perchè fa alle vittime una richiesta piuttosto bizzarra. Una volta che la vittima ha pagato il riscatto infatti, il ransomware richiede alla vittima di aprire i Servizi di Desktop Remoto (RDP) sul computer infetto e diinviarne le credenziali agli attaccanti: solo così, spiegano gli attori dietro il ransomware, sarà possibile decriptare i file. 
 
Quando cripta il computer di una vittima, modifica le estensioni dei file colpiti aggiungendovi l'estensione [old@nuke.africa].CommonRansom. Crea inoltre una nota di riscatto  in formato testuale, DECRYPTING.txt. 
 
Il riscatto richiesto ammonta, per adesso, a 0.1 Bitcoin: sotto è possibile vedere la nota di riscatto.
 
 
Come si vede, l'attaccante richiede l'invio, tramite email di:
  • ID della vittima, indicato nella nota di riscatto stessa: è un codice che contraddistingue ogni singola macchina colpita dal ransomware;
  • la porta RDP dell'indirizzo IP della macchina infetta;
  • username e password che garantiscano i privilegi di amministrazione. 
Non inviare assolutamente questi dati!
E' probabilmente la prima volta che un ransomware richiede questo tipo di dati e di accesso: acconsentire a questa richiesta è estremamente pericoloso. Garantire l'accesso ai servizi di Desktop Remoto, perfino con privilegi di amministrazione, permetterà all'attaccante di operare arbitrariamente sul tuo pc: non potrai controllare lo schermo e non avrai la possibilità di sapere quali operazioni vengano effettivamente eseguite sulla macchina. 
 
Qualche consiglio...
in generale, ecco alcuni consigli per rendere più sicuro il tuo pc...
 
Apri il Pannello di Controllo di Quick Heal--> seleziona Internet e Reti --> Protezione Firewall
--> Impostazioni avanzate --> Configura --> Regole di traffico.
 
1. Per bloccare tutte le connessioni RDP:
  • scorri verso il basso e fai doppio clic su “Consenti Desktop Remoto”;
  • fai clic su Avanti fino a raggiungere l’ultima finestra, quindi clic su Seleziona Azione;
  • cambia l’azione da “Consenti” a “Nega” quindi fai clic su Fine. 
2. Per aggiungere eccezioni per sistemi affidabili:
  • nella finestra “Regole di traffico”, fai clic su Aggiungi per aggiungere una eccezione;
  • assegna un nome alla regola (ad esempio RDP white-list) e fai clic su Avanti per due volte;
  • nella finestra “Local TCP/UDP Port” inserisci la porta RDP nell’opzione “Specifica porta” e fai clic su Avanti. Di default, la porta RDP è la 3389;
  • in “Remote IP Address” inserisci l’indirizzo IP del sistema dal quale vuoi accettare connessioni RDP;
  • puoi anche inserire un gruppo di indirizzi IP per consentire connessioni RDP da più sistemi del range specificato. (ad esempio da 192.168.0.1 a 192.168.0.255);
  • seleziona “Avanti” per la finestra “Remote TCP/UDP port”;
  • seleziona una azione da consentire come  “Consenti” nell’ultima finestra, quindi fai clic su Fine;
  • ora salva le modifiche, facendo clic su OK e selezionando “Salva modifiche”. 
Nota: assicurati che la regola RDP White-list sia superiore della regola “Consenti Desktop Remoto” nella lista di regole del Firewall. 
 
Altre pratiche di sicurezza che possono aiutarti a impedire attacchi di brute force dell’RDP
  • usa password sicure e diverse da tutte quelle che hai sugli altri account. Password prevedibili come Admin, admin@123, user, 123456, password ecc.. possono essere facilmente individuate durante un attacco di brute force fin dai primi tentativi;
  • configura una protezione tramite password per i tuoi software di sicurezza. Questo ti consentirà di impedire l’accesso al sistema da parte di utenti non autorizzati intenzionati a disinstallare o disabilitare l’antivirus. Gli utenti Quick Heal possono attivare questa caratteristica da “Impostazioni--> Protezione password";
  • disabilita l’account Amministratore e usa un nome account differente per le attività amministrative. La maggior parte dei tentativi di brute-force sono compiuti su un account Amministratore visto che spesso è presente di default. Rimuovi inoltre ogni altro utente non utilizzato o utente ospite, nel caso siano presenti nel sistema;
  • cambia la porta RDP di default. La maggior parte degli attacchi infatti si concentra sulla porta 3389 perché quella di default in quasi tutti i sistemi;
  • attiva l’Autenticazione a livello di rete nelle tue impostazioni RDP, disponibile dal SO Windows Vista e successivi. 
    Rif: https://technet.microsoft.com/en-us/library/cc732713.aspx
  • configura l’ “Account Lockout Policies” che chiude automaticamente l’account dopo un numero specificato di tentativi falliti. Questa caratteristica è disponibile in Windows. 
    Rif: https://technet.microsoft.com/en-us/library/dd277400.aspx