Il 05/08/21 17:15, Andrea Trentini ha scritto:
[...]
giustissimo, ma anche la crittazione (malevola) di tutta quella roba ha preso tempo

Negativo. Il Ransomware (almeno quello in esame [1]) _NON_ cifra il file per intero, ma si limita a farlo per una piccolissima parte iniziale (da 250KB a 1MB). Chiaramente se distruggi il primo 1MB di un file... la probabilita' che lo rendi inutilizzabile è quasi 1.

Chiaramente questo approccio rende il ransomware.... velocissimo.


https://www.linkedin.com/posts/nicola-vanin-b03a5451_blackmatter-ransomware-darkside-activity-6828930459712462849-CqM-
https://www.linkedin.com/posts/nicola-vanin-b03a5451_blackmatter-ransomware-darkside-activity-6828930459712462849-CqM-
https://www.linkedin.com/posts/nicola-vanin-b03a5451_blackmatter-ransomware-darkside-activity-6828930459712462849-CqM-
https://www.linkedin.com/posts/nicola-vanin-b03a5451_blackmatter-ransomware-darkside-activity-6828930459712462849-CqM-
https://www.linkedin.com/posts/nicola-vanin-b03a5451_blackmatter-ransomware-darkside-activity-6828930459712462849-CqM-
https://www.linkedin.com/posts/nicola-vanin-b03a5451_blackmatter-ransomware-darkside-activity-6828930459712462849-CqM-
possibile che non se ne siano accorti nel mentre?

Lavoro nell'IT da circa 25 anni. Ho passagli gli ultimi 17 a gestire un buon 95% dell'infrastruttura di rete di un medio Ateneo, che dava connettività a ~3000 PdL. Conosco (bene) una decina di miei "omologhi"....

....e _NON_ conosco _NESSUNO_ che abbia implementato sistemi di "allarme" _REAL-TIME_ che vengono scatenati quando partono flussi di traffico "outbound" che superano una certa soglia.

Io stesso (...che per anni sono andata a caccia di cattivoni "interni") avevo messo in piedi un sofisticato sistema di analisi (volumi) del traffico ma... era "batch": ti accorgevi del problema soltanto a valle dell'analisi, tipicamente figlia di attività elaborative notturne (aka: vedo domani quello che e' successo oggi).

In alcuni altri contesti sono state utilizzate tecnologie sui client: una sorta di antivirus-speciale che tiene sotto controllo _TUTTA_ l'attivita' del PC e, se trova qualcosa di anomalo (es.: l'accesso ad un numero elevato di file, in un periodo di tempo molto ristretto), fa scattare allarmi (al server antivirus). Ma sono soluzioni molto invasive, che impattano (negativamente) l'esperienza dell'utente finale.

Rispetto al monitoraggio del traffico, ci sono margini per passare da "batch" a "near-real-time" ma... non sono attività banali! Si possono fare; questo e' certo. Ma servono "tempo", "dedizione" e "competenze" che sono sempre piu' rare negli Atenei, data l'implicità volontà apicale di.... "distruggere" tutto quello che è IT-related.

....e un Ateneo --nonostante tutto-- è _ANNI_LUCE_ "avanti" rispetto ad una ASL, ad un Comune e.... una "in-house" di una Regione (_NON_ parlo per sentito dire....). Il vantaggio si sta erodendo rapidamente.... ma comunque resta.

Bye,

DV

[1] https://www.linkedin.com/posts/nicola-vanin-b03a5451_blackmatter-ransomware-darkside-activity-6828930459712462849-CqM- 

    

    
-- 
Damiano Verzulli
e-mail: damiano@verzulli.it
---
possible?ok:while(!possible){open_mindedness++}
---
"...I realized that free software would not generate the kind of
income that was needed. Maybe in USA or Europe, you may be able
to get a well paying job as a free software developer, but not
here [in Africa]..." -- Guido Sohne - 1973-2008
   http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html