Il ransomware è un metodo comune di estorsione o interruzione del servizio per ottenere un guadagno finanziario effettuato da criminali informatici. Questo tipo di attacco può interrompere istantaneamente l'accesso a file, applicazioni o sistemi fino a quando la vittima non paga il riscatto (e l'attaccante ripristina l'accesso con una chiave di decrittazione) o l'organizzazione effettua un ripristino e ricostituzione dei dati dai backup. Una volta che il ransomware si introduce all'interno di un'organizzazione, la maggior parte delle varianti utilizza account privilegiati e relazioni di trust tra i sistemi per diffondersi ovunque.

Lo scopo del presente documento è quello di fornire controlli pratici sulla sicurezza degli endpoint e misure di rafforzamento che possano limitare la capacità di una variante di ransomware o malware di avere un impatto su una vasta gamma di sistemi all'interno di un ambiente. Se è presente un focolaio attivo, a seconda del metodo di propagazione utilizzato dalla variante, l'implementazione di molte delle raccomandazioni contenute in questo documento può potenzialmente interrompere e contenere l'evento.