Come combattere Doxware?

Naviga le tue risposte
4

Ci sono apparentemente pochissime informazioni disponibili sull'emergere del ransomware; doxware.

Ho trovato solo un paio di articoli che suggeriscono che doxware crittografa i tuoi file, ma li copia anche sull'attaccante.

Il software anti-ransomware corrente (lato server) avvia un client quando rileva la modifica di molti nomi di file. Ciò impedirà la crittografia dei tuoi file ma non protegge i tuoi file da copiati a un utente malintenzionato.

Ho letto che le varianti Doxware finora sono state utilizzate solo in attacchi mirati. Tuttavia, è molto facile integrare Doxware nel malware automatizzato. Sono davvero sorpreso che non ci siano ancora stati attacchi molto grandi e automatizzati.

Come difendi il doxware (eccetto che addestrare i tuoi utenti a non cliccare su email canaglia)?

    
posta jortiexx 12.01.2018 - 11:21
fonte

1 risposta

3

Difendi le azioni dannose identificando prima quelle azioni dannose. Il ransomware può mostrarsi con un alto numero di azioni di "rinomina". È un modo semplice e rapido per identificare azioni dannose che sono improbabili e legittime.

Se doxware non fa questo, allora sì, hai bisogno di un altro "indicatore di compromesso" da cercare. Come molti altri malware, cercare un alto numero di accessi ai file e un'elevata larghezza di banda in uscita può essere un modo per farlo.

Come per il ransomware, i processi e le applicazioni di whitelisting possono bloccare le infezioni prima che si verifichino.

Penso che il motivo per cui non stiamo assistendo a un'enorme esplosione di questo tipo di attacco è perché un hacker opportunista non avrà le risorse per gestire i file di un milione di utenti, e cercando di raccoglierli tutti li farebbe risaltare su Internet (elevati volumi di traffico). Quindi, saranno attacchi mirati dove questo sarebbe usato. Ma non è affatto nuovo . Molti malware sono esistiti da molto tempo che fanno questo (i RAT sono il primo che viene in mente).

La variante più pericolosa è un "doxware" che cerca solo un determinato file o un piccolo set. Questo sarebbe impossibile da rilevare.

    
risposta data 12.01.2018 - 11:32
fonte

Leggi altre domande sui tag

Le mitigazioni di Spectre e Meltdown sono necessarie nelle VM per le lingue dinamiche diverse da JavaScript? Come creare uno schema / protocollo di distribuzione sicuro delle chiavi?