Recentemente siamo stati attaccati dal ransomware (adobe li). La cosa strana è che il ransomware è stato in grado di ottenere privilegi inimmaginabili. Il virus del ransomware si trova sul computer dell'utente normale. Non riesco a immaginare come sia stato in grado di superare due ostacoli:
- Il ransomware avrebbe dovuto essere avviato esplicitamente da qualche utente. Quindi, perché il software antivirus (integrato in Windows 10 Defender) non ha emesso avvisi all'utente che l'utente sta avviando software non certificato.
- Questo ransomware ha crittografato non solo i file locali di questo computer ma ha seguito tutte le condivisioni Windows e Linux disponibili, ha attaccato anche le condivisioni che richiedevano i privilegi dell'amministratore o altri utenti per scrivere in tali condivisioni.
Quindi - se l'antivirus non impedisce l'esecuzione del ransomware e se il ransomware è in grado di scrivere nelle condivisioni scrivibili solo dall'amministratore, allora qualcosa è davvero, veramente sbagliato nella più semplice infrastruttura di sicurezza dei computer contemporanei. Quali contromisure possiamo prendere contro la capacità di tale ransomware di accedere a posti privilegiati sulla rete?