Microsoft ha annunciato una nuova funzionalità di Defender for Endpoint che permette di bloccare l’installazione dei ransomware, isolando gli account compromessi sfruttati per il movimento laterale nella rete aziendale. Per illustrare la sua efficacia è stato descritto l’attacco effettuato con Akira nel mese di giugno.

Contenimento degli account compromessi

Microsoft spiega che, nel caso di attacchi ransomware effettuati da umani, il movimento laterale nella rete è uno dei passi più importanti per cercare target di maggior valore. Il successo dipende però dalla possibilità di prendere il controllo di un account utente e di elevare i privilegi.

La nuova funzionalità di Microsoft Defender for Endpoint consente di bloccare il movimento laterale e l’installazione del ransomware, isolando gli account compromessi. L’azienda di Redmond ha fornito un esempio pratico per dimostrare la sua efficacia.

All’inizio di giugno, una società di ingegneria industriale ha subito un attacco dal gruppo Storm-1567. I cybercriminali hanno tentato di installare il ransomware Akira. L’accesso alla rete è stato ottenuto rubando le credenziali di un account creato su un dispositivo non protetto da Defender for Endpoint.

Successivamente è stata avviata la scansione della rete per individuare target più interessanti ed effettuato il movimento laterale tramite RDP (Remote Desktop Protocol). I cybercriminali hanno quindi tentato di accedere ad un server SQL, ma senza successo perché l’account era stato isolato. Tutti gli altri tentativi sono stati bloccati, quindi il ransomware non è stato installato.