RESOCONTO SULLA SOLUZIONE

Il ransomware si è imposto rapidamente come minaccia significativa per impresee organizzazioni di tutte le dimensioni. In un periodo in cui i dati sono preziosi, i cybercriminali approfittano di chi non dispone di conoscenze approfondite inmerito al comportamento dei malware.

E' necessario implementare un piano per ridurre al minimo il rischio di questaminaccia di profilo elevato, in modo da poter evitare l'interruzione delle attività,la perdita della produttività, il danno alla reputazione del marchio, oltre alleimplicazioni legali che accompagnano la fase di recupero da un attacco ransomware.

SCONFIGGERE IL RANSOMWARE CON TREND MICROQuando si tratta di ransomware non esistono bacchette magiche; è necessarioun approccio multi-livello per fasi allo scopo di ottenere la massima riduzionedel rischi.

COSA SI INTENDE CON RANSOMWARE?

Il ransomware è un tipo di malware cheblocca, cripta o impedisce in altro modol’accesso a dati e sistemi da parte deiproprietari e richiede alle vittime di pagareun riscatto al responsabile criminaledell’attacco per ottenere nuovamentel’accesso.

Viene distribuito principalmente tramiteexploit kit, schemi di ingegnerizzazionesociale e messaggi spam inviate ad unnumero elevato di indirizzi e-mail.Non appena un destinatario apre unallegato maligno o fa clic su un linkcompromesso, il malware viene scaricatonel sistema dell’utente.

Il timore di perdere dati preziosi puòspingere gli utenti a pagare il riscatto.Tuttavia, questa scelta non garantisceautomaticamente di ottenere losblocco o la decrittazione dei file.

Pag. 1 di 4 • RESOCONTO SULLA SOLUZIONE • PROTEGGI LA TUA ORGANIZZAZIONE DAL RANSOMWARE

Protezione web ee-mail

Protezioneendpoint

Protezionerete

ProtezioneServer

Trend Micro

PROTEGGI LA TUA ORGANIZZAZIONE DALLEIMPLICAZIONI IMPREVISTE DEL RANSOMWARE

Pag. 2 di 4 • RESOCONTO SULLA SOLUZIONE • PROTEGGI LA TUA ORGANIZZAZIONE DAL RANSOMWARE

E-MAIL E PROTEZIONE WEB

Tutto inizia con i tuoi utenti. Sono i più vulnerabili di fronte al ransomware. Sia che cadanonella trappola di una e-mail phishing o facciano clic su un URL maligno, gli utentirappresentano l'obiettivo più facile per gli aggressori. A partire da ottobre 2015Trend Micro ha bloccato oltre 99 milioni di minacce ransomware, il 99% delle qualiè stato individuato in e-mail o link web maligni.Bloccando il ransomware in corrispondenza del gateway e-mail e web si può impedireche raggiunga gli utenti.

1

Utilizzare Microsoft Office 365 per Email?

Anche affidandosi ad una soluzione e-mail cloud based con protezione built in, si è ancora vulnerabiliagli attacchi ransomware tramite e-mail phishing o allegati maligni. Ecco dove entra in gioco Trend Micro.Trend Micro Cloud App Security ha bloccato oltre 2 milioni di minacce non individuatedalle opzioni di protezione presenti in Office 365, aumentando la sicurezza built-in perindividuare il ransomware con:

Scansione malware e valutazione dei rischi dei file

Analisi malware sandbox

Rilevamento exploit documenti

Web reputation

Affidarsi ad un gateway e-mail per una protezione e-mail on premise?

Migliora i tuoi livelli di rilevamento ransomware del gateway e-mail Trend Micro™

Deep Discovery Email Inspector utilizza tecniche di rilevamento avanzate perindividuare e bloccare le e-mail spear phishing che vengono spesso utilizzate per veicolareil ransomware a dipendenti ignari. Lavorando in modo fluido e in collaborazione con il gatewaye-mail esistente o con i prodotti di sicurezza server, Email Inspector è in grado di rilevare ebloccare e-mail spear phishing costruite allo scopo che utilizzano allegati e URL malignicome veicoli comuni per il ransomware. Email Inspector offre:

Analisi approfondita degli allegati e-mail e degli URL, compresi: Documenti Office(+macro), PDF, archivi, eseguibili, script, multimedia e molto altro

Analisi approfondita virtuale degli URL, compresi: URL inseriti nel corpo o nell’oggettodei messaggi e all’interno dei documenti

Emulazione script e rilevamento exploit zero-day per individuare ransomware e attivitàcollegate, tra cui: modifiche file di massa, comportamento legato alla criptazione e altricambiamenti.

Ridurre al minimo il rischio derivante dal traffico web

Oltre che attraverso i messaggi e-mail i tuoi utenti si espongono al ransomware facendo clicsui siti web intenzionalmente maligni o compromessi. Trend Micro™ InterScan™ Web Security

protegge i tuoi utenti sul web con:

Scansione di exploit zero day e browser, percorsi comuni che il ransomware utilizza perentrare nell’organizzazione

Integrazione con Trend Micro™ Deep Discovery™ per l’analisi sandbox

Web reputation in tempo reale per determinare se un URL è un veicolo di ransomwareconosciuto

MINACCE RANSOMWARE NOTE

PowerWare – Questo malware ha la capacitàdi enumerare tutte le unità logiche, compresequelle mappate per le reti condivise. Ciòmette a rischio l’intera rete e potrebberappresentare una minaccia importanteper le imprese

PETYA – E’ in grado di sovrascrivere ilmaster boot record dei sistemi coinvoltiper bloccare gli utenti. Le unità infettatericevono l'avviso di richiesta di riscattoquando avviano il sistema e non possonoandare oltre. Viene fatto pervenire allevittime tramite servizi di archiviazionecloud legittimi

KeRanger – Un malware di criptazione cherappresenta il primo cripto-ransomware perMac e viene installato tramite un’applicazionedi file-sharing open source. I creatori delmalware hanno utilizzato un certificatosviluppato per un'app Mac per superare ilGatekeeper Apple, una caratteristica diprotezione che consente agli utenti di limitarele fonti da cui è possibile installare app

SAMAS (conosciuta anche come SAMSAM) Il primo ransomware che ha la capacità dicriptare i file all'interno delle reti, minacciandoi backup di database e reti dell'organizzazione.Si sa che gli utenti di SAMAS posizionanomanualmente e cancellano i backup di reteper obbligare le società a pagare il riscatto.

Locky – cerca e cancella Volume ShadowCopy di file, che sono file di back upautomatici di Windows

MAKTUBLOCKER – Il metodo di criptazionedi questo ransomware è simile alla maggiorparte di altri, mentre il suo vettore di infezioneè unico. Arriva sotto forma di e-mail checontiene il nome e l’indirizzo dell’utentefacendo sembrare il messaggio affidabile.Il ransomware si attiva una volta che siprocede a scaricare il file allegato

1

Trend Labs, Aprile 2016

™

PROTEZIONE ENDPOINT

Trend Micro ha rilevato il 99% delle minacce ransomware nei messaggi e-mail o in link web.Rimane ancora un 1% che potrebbe raggiungere il tuo endpoint. Trend Micro Smart Protection Suites offre alcune capacità in grado di ridurre al minimo ilrischio che il ransomware raggiunga i tuoi endpoint, tra cui:

Monitoraggio del comportamento: per il comportamento sospetto associato alransomware, come la criptazione rapida di file multipli, in modo che il processo dicriptazione possa essere bloccato automaticamente e l’endpoint isolato, prima cheil ransomware si diffonda causando danni maggiori ai tuoi dati

Controllo delle applicazioni: crea in modo dinamico e automatico white list per applicazioni che consentiranno solo l'esecuzione di applicazioni note corrette bloccandoquelle sconosciute come il ransomware

Protezione contro le vulnerabilità: protegge dal ransomware che sfrutta le vulnerabilità del software unpatched, un obiettivo per gli exploit kit durante gli attacchi.Comprende la protezione dei sistemi in fine assistenza come Windows XP.

PROTEZIONE DI RETE

Anche se e-mail e web sono percorsi comuni attraverso cui il ransomware entra nellatua organizzazione, è possibile essere esposti al ransomware anche tramite altri protocollidi rete e metodi di attacco. Ecco perché è necessaria una strategia di difesa di rete cheblocchi il ransomware impedendogli di accedere alla rete e di diffondersi al suo interno.

Trend Micro™ Deep Discovery™ Inspector è un dispositivo di rete che individua il traffico maligno, le comunicazioni command and control, il comportamento degli aggressori, gliexploit zero day e altre attività associate a tentativi di infiltrare il ransomware all’internoe attraverso la rete. Deep Discovery è in grado di impedire che il ransomware si diffondaad altri endpoint e server. Protegge contro il ransomware grazie a

Tecniche di rilevamento estese all’interno di tutto il traffico di rete, porte e oltre100 protocolli di rete per individuare il ransomware e il comportamento degli aggressori nell’intera catena criminale Analisi sandbox provata che riflette il tuo ambiente informatico per individuaremodifiche e criptazioni di file, oltre a comportamenti maligni coerenti con gliattacchi ransomware Integrazione con i gateway e-mail e web e gli endpoint Trend Micro, protezione servere soluzioni di terza parte per fornire una difesa connessa in cui nuove informazionisulle minacce vengono condivise attraverso livelli multipli

Proteggi l'organizzazionedal Ransomware

Sfrutta i back-up automatizzati eripristina i processi

Applica le patch software nonappena si rendono disponibili

Educa i dipendenti alla prevenzionedel phishing via e-mail

Limita l’accesso a informazionibusiness critical

Sostiene il livello di sicurezzaattraverso la protezione ransomwarea livelli

Pag. 3 di 4 • RESOCONTO SULLA SOLUZIONE • PROTEGGI LA TUA ORGANIZZAZIONE DAL RANSOMWARE

PROTEZIONE SERVER

Il ransomware sta prendendo sempre più di mira i server, compresi esempi recenti di profiloelevato come SAMSAM , in cui gli aggressori sfruttano le vulnerabilità software note per iniettare il ransomware. Gli attacchi ai tuoi server su cui si trovano la maggior parte deidati critici possono risultare particolarmente destabilizzanti per le imprese.

Trend Micro™ Deep Security™ protegge i server dal ransomware nel cloud ibrido (fisico, virtuale e cloud) o nel cloud grazie a:

Rilevamento e prevenzione delle attività sospette: se il ransomware cerca di introdursi in un centro dati (per esempio tramite un utente per un server file), Deep Security è ingrado di rilevare attività sospette e impedirgli di continuare, mentre si attivano leallerte che segnalano un problema

Protezione contro le vulnerabilità: protegge i server e le applicazioni dagli attacchi ransomware schermandoli contro gli exploit di vulnerabilità software note, chepotrebbero essere utilizzate per iniettare ransomware, compresi i sistemi in fine vita comeWindows 2003. Rilevamento di movimenti laterali: nel caso in cui il ransomware dovesse entrare nei data centre, Deep Security sarebbe in grado di ridurlo al minimo e bloccarlo daldiffondersi ad altri server.

INFORMAZIONI SU TREND MICRO

In quanto leader globale nella sicurezza cloud, Trend Micro sviluppa soluzioni di protezioneche rendono il mondo sicuro per lo scambio di informazioni digitali di imprese e consumatori.Con oltre 25 anni di esperienza, Trend Micro offre protezione di massimo livello che si adattaalle necessità dei nostri clienti; blocca più velocemente le nuove minacce e protegge i datiin ambienti fisici, virtualizzati e cloud.

Quando il ransomware infetta la tuaorganizzazione, è in grado di arrivare adati a cui può accedere un utentedell'organizzazione. L’organizzazione puòimpiegare diverse ore/uomo nel tentativodi recuperare i file persi attraverso threade-mail, con poca speranza di successo.

Con l’evolversi del ransomware, leorganizzazioni devono mantenersi al passocon la minacce. Avviare una partnershipcon Trend Micro permetterà di otteneresoluzioni che impediscono e riducono idanni causati da questa minacciapotenzialmente devastante.

Per maggiori informazioni, visita:

Pag. 4 di 4 • RESOCONTO SULLA SOLUZIONE • PROTEGGI LA TUA ORGANIZZAZIONE DAL RANSOMWARE

©2016 Trend micro Incorporated. tutti i diritti riservati. Trend Micro, il logo che presenta la t a forma di sfera e Smart Protection Network sono marchi commerciali o marchi registrati Trend Micro Incorporated, tutti gli altri nomi di prodotti o società possono essere marchi commerciali o marchi registrati dei rispettivi titolari. Le informazioni contenute in questo documento possono essere soggette a modifiche senza preavviso [SB01_Ransomware_160518IT]

www.trendmicro.it/informazioni-sulla-sicurezza/enterprise-ransomware/