Protezione dai ransomware con il firewall

Protezione dai ransomware con il firewall

Il firewall hardware o software che sia ha lo scopo di difendere la rete perimetrale analizzando il traffico in ingresso ed in uscita al fine di ottenere un aumento della sicurezza informatica della rete stessa…vediamo alcune semplici regole che è possibile settare al fine di elevare le difese di protezione dei ransomware. Sai cosa sono i “Command and Control”? Scopri qui cosa sono e perchè sono importanti…

Partiamo prima dal concetto di botnet, ovvero una rete controllata da un Master e composta da dispositivi infettati da malware specializzato, detti bot o zombie. L’interazione tra questi due soggetti (chi comanda & controlla e chi esegue) rappresenta quindi una “Command and Control”.

-Bloccare i range IP dei Command and Control

La maggior parte dei ransomware lavora ora a livello dominio, piuttosto che IP. Se si vuole comunque implementare una protezione rispetto a queste soluzioni è possibile bloccare il range IP 146.185.220.0/23

-Bloccare i domini dei Command and Control

Cryptowall 2.0 usa ad esempio i domini tor4pay.com, pay2tor.com, tor2pay.com, and pay4tor.com;
Cryptowall 3.0: torforall.com, torman2.com, torwoman.com, and torroadsters.com;
Cryptowall 4.0: 3wzn5p2yiumh7akj.partnersinvestpayto.com, 3wzn5p2yiumh7akj.marketcryptopartners.com, 3wzn5p2yiumh7akj.forkinvestpay.com, 3wzn5p2yiumh7akj.effectwaytopay.com, and 3wzn5p2yiumh7akj.onion
Questi nomi comunque sono soggetti a continui updates ed è quindi necessario rincorrere queste liste mano a mano che vengono censite.

-Blocco a livello Paese

E’ possibile bloccare sia i domini .onion (domini ospitati nel dark web) che prevenire l’accesso ad esempio ai domini .ru che sono stati identificati come sorgenti per un buon numero di ransomware.

-Blocco TOR

Tor viene utilizzato dal malware dropper per ottenere i file necessari per infettare il tuo computer. Blocca l’utilizzo di TOR e di altri anonimizzatori bloccandoli sul tuo firewall. Per bloccare TOR potrebbe essere necessario rivedere le istruzioni fornite dal fornitore del firewall. In generale un firewall che esegue l’ispezione dei pacchetti è molto più efficiente in termini di protezione.

Di seguito sono riportati due riferimenti e il riferimento Cisco ha diversi collegamenti a elenchi di indirizzi TOR noti.

Tieni presente che si tratta comunque di un elenco di indirizzi lungo e sempre aggiornato.

Istruzioni Cisco ASA – https://nbctcp.wordpress.com/2014/10/20/blocking-tor-browser-in-cisco-asa-5505/

Sonicwall – https://support.software.dell.com/de-de/kb/sw12012

 

2018-09-18T09:45:33+00:00