Ransomware su un computer mette a rischio l'intera rete?

Risposta breve, senza informazioni supplementari, si dovrebbe almeno considerare il rischio di infezione di rete come importante.

La cosa principale è almeno essere in grado di mettere un nome sul malware, e ancora meglio scoprire come è stato infettato questo primo computer.

Alcuni worm utilizzano effettivamente la connessione di rete per propagarsi: eseguono la scansione della rete locale in genere indirizzando alcuni difetti del sistema operativo non patchati e ne approfittano per propagarsi. Tuttavia, questo è lo scenario peggiore perché:

1. L'altro sistema potrebbe essere aggiornato e corretto correttamente,
2. Non tutti i worm si comportano così,
3. Potresti anche non trovarti di fronte a un verme, in tal caso la contaminazione da ransomware era solo il risultato di un altro modo di infezione che non influiva sul resto della rete (phishing e-mail, difetto di browser sfruttato da qualche sito visitato dal utente, ecc.).

Se possibile, ti incoraggerei a dare un'occhiata alle attività sospette della rete. Una dozzina di PC infetti che scansionano la rete per trovare vittime supplementari di solito sono piuttosto rumorosi ...

Uno scenario di rete comune implementa un file server. Se il sistema infetto ha accesso al file server, può sia crittografare che infettare i file sul file server, mettendo quindi a rischio tutti gli altri sistemi sulla rete, nonché la proprietà intellettuale dell'azienda, se la società non rispetta le politiche di backup .

Mi sento molto aggravato quando la gente parla di "infettare la rete". In genere, ci sono due problemi separati in gioco qui. Solo perché un computer condivide una sottorete con un'altra non lo rende vulnerabile (o, almeno, non dovrebbe , escludendo bug).

La vera vulnerabilità è nelle credenziali del computer infetto. Sui computer Windows aggiunti al dominio, il servizio Active Directory che gestisce l'autenticazione e la distribuzione delle credenziali frequentemente viene eseguito (e funziona solo su) un particolare segmento di rete, portando al malinteso comune che "la rete" non è solo un mezzo di trasmissione dati, ma una cosa "attendibile".

In breve, cerca a quali macchine ha accesso il computer infetto. Se il computer infetto era un computer Windows aggiunto al dominio, è possibile che la macchina infetta e gli utenti che hanno eseguito l'accesso abbiano avuto accesso ad altri computer sulla rete, ponendoli a rischio. Se si trattava di un computer Windows non appartenente al dominio, preoccuparsi di altri computer sulla rete che utilizzavano lo stesso nome utente e password di un utente sulla macchina infetta o che la macchina infetta aveva salvato le credenziali per (controllare il Gestore credenziali sugli account registrati).

Vale anche la pena notare che la maggior parte dei ransomware non è così intelligente. Di solito non è una cosa che si diffonde da sé, ma solo un carico utile fornito da qualche altro meccanismo di exploit. Non sarebbe davvero d'aiuto crittografare file su altri computer a meno che non possa visualizzare anche una richiesta di riscatto, e ciò richiede l'esecuzione di codice, non solo l'accesso ai file. La maggior parte dei ransomware non toccherà la rete a meno che non si sia mappata un'unità di rete, e solo perché confonde quelli con le unità locali.