Practical Guidance for IT Admins to respond after Ransomware attacks

This blog post will be specifically targeting the IT Professionals audience and will focus only on the technical aspects. My goal is for sure not to try and re-invent the wheel. I haven’t seen any practical guidance that covers step-by-step on how to perform remediation during a ransomware attack, which motivated me to write this blog post. This will be a long blog post because we will cover multiple topics, so be prepared for that.

C’è tutto quello che bisogna sapere per affrontare un attacco ransomware che oggi colpisce sempre più spesso i Domain Controller con la loro Active Directory e quelle GPO che silenziose possono portare a compimento azioni non esattamente lecite. Non è infatti una novità che già lo scorso anno Bleeping Computers aveva riportato che LockBit 2.0 era capace di criptare l’intero dominio Windows agendo tramite AD Group Policy.

E se tutto parte spesso da un errore umano con diritti di accesso evidentemente troppo privilegiati, è altrettanto vero che un PsExec e/o – appunto – una Group Policy possono fare danni molto rapidamente, ancora prima che tu possa rendertene conto e interrompere il processo sul nascere. È evidentemente per questo motivo che l’autore di questo corposo articolo ha voluto dedicarsi allo studio di un attacco “in laboratorio“, dove ha potuto dare libero sfogo al ransomware e all’analisi dei suoi comportamenti, quindi agli interventi da portare a termine per rimettere in sesto il dominio pur perdendo per strada quei domain controller ormai compromessi.

È una lettura a tratti pesante ma credo estremamente utile per chiunque svolga questo mestiere che può, in qualsiasi momento, ritrovarsi davanti a un disastro annunciato.

Practical Guidance for IT Admins to respond after Ransomware attacks: m365internals.com/2022/09/19/practical-guidance-for-it-admins-to-respond-to-ransomware-attacks

#StaySafe

Immagine di copertina Michael Geiger on Unsplash