GitHub è una fonte inesauribile di ottimi strumenti, uno di questi è RansomwareDetectionService, il quale serve a monitorare gli share di rete per bloccare eventuali attacchi ransomware.
Uno strumento veramente interessante, visti anche i recenti attacchi verso NAS di rete di Synology, QNAP e simili, attacchi che veicolavano ransomware sfruttando vulnerabilità o porte aperte con credenziali di default ancora attive.
Vediamo come funziona
Dedicato agli amministratori di rete
Questo strumento parte grazie ad un progetto GitHub nato per aiutare gli amministratori di sistema a tener monitorate le risorse di rete da infezioni da parte dei ransomware.
Che una risorsa di rete come un NAS o simili venga infettato è l’incubo di ogni amministratore: infatti vorrebbe dire la perdita di centinaia di GB di preziosi dati, backup o quant’altro.
Spesso ci si accorge di un infezione ransomware quando il danno è già stato fatto: infatti, in particolare per i NAS o simili, l’infezione può essere silente e l’utente se ne accorge solo quando cerca di accedere alla risorsa.
RansomwareDetectionService si propone proprio per aiutare gli amministratori i quali, grazie a questo tool, monitorerà gli share di rete e quando rileverà comportamenti anomali negli stessi invierà una notifica anche via mail all’amministratore il quale potrà intervenire prontamente per interrompere lo share di rete e spegnere il sistema infettato.
In alternativa è possibile far in modo che lo strumento interrompa lo share di rete infetto, inserendo nella colonna CommandProgram lo script
StopRansomwareInfectedComputerPublic.ps1 residente nella cartella stessa del tool. Per ulteriori info vedere qui
Nello specifico lo strumento permette di:
- monitorare le risorse di rete
- ricevere notifiche in caso di comportamenti anomali, come modifica di nomefile, estensione ecc
- controllare l’integrità dei file nello share
- quali file sono stati creati e modificati dall’infezione
- possibilità di interrompere lo share grazie al pulsante “Stop File Sharing”
Per informazioni in merito la configurazione (consigliamo di eseguire alcuni test su macchine muletto o virtuali) seguire la pagina GitHub.
Altri articoli su argomento Ransomware: