Il ransomware è probabilmente l’innovazione più significativa e pericolosa nella storia del cyber crime: il suo modello di business è talmente efficace che oggi rappresenta la minaccia più comune e devastante per le organizzazioni (di tutte le dimensioni): ecco quindi che torna utile fare propri alcuni consigli pratici per essere in grado di affrontare la minaccia e difendersi nel migliore dei modi.
In maniera ancora più preoccupante, man mano che gli attacchi di ransomware diventano più frequenti, la curva di pericolosità di questo malware continua ad incrementare, così come il valore del riscatto richiesto.
Con l’introduzione di Bitpaymer, Ryuk e Sodinokobi l’ammontare del riscatto è passato da una media di meno di 10mila dollari nel 2018 a più di 100mila dollari nel 2019, con casi limite in cui la domanda è stata di oltre 6 milioni di dollari.
Le infezioni da ransomware sono così dirompenti che anche con misure come le assicurazioni ad-hoc e un processo di remediation rapido, la migliore strategia di difesa rimane sempre un’attività di sicurezza preventiva costante e precisa.
Indice degli argomenti
Non farsi mettere nel mirino
Le aziende, salvo casi di primo piano, non sono quasi mai prese di mira per quello che sono (brand, persone di spicco, settore in cui operano); sono quasi sempre bersagli casuali, quello che gli anglosassoni chiamano “target of opportunity”.
C’è un motivo per cui il phishing e gli attacchi contro le connessioni remote non sicure (Microsoft Remote Desktop Protocol o RDP in particolare) sono i due metodi principali per diffondere un ransomware.
Qualsiasi organizzazione che gestisce RDP esposto in rete, sia sulla sua porta standard (3389) sia su una porta alternativa, può essere certa di essere un possibile bersaglio di un gruppo di criminal hacker.
Il modo più semplice per evitare di diventare un target è quello di limitare l’uso del protocollo RDP. Se ciò non è possibile, si consiglia di limitare l’accesso da remoto solo agli indirizzi IP richiesti e di abbinarlo ad altre misure di protezione (come una VPN configurata appositamente e un’autenticazione a più fattori).
Negando agli aggressori punti visibili di accesso remoto o bloccando la progressione di una campagna di phishing, le organizzazioni possono ridurre drasticamente il rischio.
Non va dimenticato, in ogni caso, che sebbene la maggior parte delle campagne di ransomware sia stata osservata colpire gli ambienti Windows, si sono verificati anche attacchi di successo contro gli ambienti Linux.
Fermare la Kill Chain
Gli attacchi ransomware sono “rumorosi”: una volta eseguito il ransomware, i file diventano inaccessibili, spesso con una nuova estensione di file aggiunta e una nota di riscatto che si trova in un file di testo o HTML a fianco dei file criptati. In alcuni casi gli aggressori bloccano il bootloader stesso.
Per evitare un attacco ransomware è necessario essere in grado di individuare rapidamente i precursori, prima che il ransomware venga distribuito.
Il phishing è uno di questi e una delle tecniche più frequentemente osservate per l’avvio di attacchi ransomware. Le e-mail di phishing generalmente includevano un allegato o un link macro abilitato come fattura non pagata, per esempio, con estensione di file .doc, .docx, .xml o .pdf.
Quando viene aperto, e a condizione che l’utente abbia abilitato le macro, il malware utilizza VBA AutoOpen per le esecuzioni, mentre il loader utilizza il metodo WebClient.DownloadFile per installare un trojan come Emotet o Trickbot.
Mentre questi trojan erano tradizionalmente utilizzati per raccogliere le credenziali degli utenti, ora sono anche spesso utilizzati come diffusori di malware per il ransomware.
Se si nota un tentativo di phishing, un utente che abilita le macro, o un’infezione di Emotet o Trickbot, il ransomware probabilmente seguirà.
Fortunatamente, esiste anche una finestra temporale per interrompere un attacco ransomware.
L’infezione può essere brevissima o nel tempo, tra 30 minuti e 1 anno, con una media che si assesta intorno ai 30 giorni.
Prevenire è meglio che curare (sempre)
Il modo migliore per prevenire un attacco ransomware è quello di eliminare l’accesso remoto e le interfacce di amministrazione che sono collegate all’ambiente di rete primario. Se occorre utilizzare questi servizi, è utile assicurarsi che qualsiasi interfaccia di questo tipo sia protetta con l’autenticazione a più fattori, che l’accesso ad essa sia limitato a specifici indirizzi IP esterni e che sia su un segmento di rete separato per isolare ulteriormente i sistemi con dati critici.
Inoltre, è fondamentale per tutte le organizzazioni implementare soluzioni di Phishing Simulation Attack e a formare regolarmente i dipendenti per individuare e segnalare i tentativi di phishing.
Non solo, spesso un attacco ransomware potrebbe essere “anticipato” da traffico insolito nel Dark Web.
In questo caso la Cyber Threat Intelligence si rivela fondamentale, per comprendere le minacce che hanno colpito, vogliono colpire o stanno per prendere di mira il proprio perimetro aziendale.
La Cyber Threat Intelligence aiuta le organizzazioni ad acquisire conoscenze preziose sulle minacce direttamente più incombenti, a costruire meccanismi di difesa efficaci (cyber resilience) e a mitigare i rischi che potrebbero danneggiare i loro profitti e la loro reputazione.
Dopo tutto, gli attacchi mirati richiedono una difesa mirata e la Cyber Threat Intelligence offre la capacità di difendersi in modo più proattivo.
Anche le best practice di base rimangono importanti. Patchare regolarmente i sistemi e i software, non dare accesso all’amministratore locale ai dipendenti che non lo richiedono e disattivare gli account inattivi.
L’importanza del backup
Ovviamente nessun piano è perfetto e potremmo essere comunque colpiti. In questo caso, il modo migliore per rimediare a un attacco ransomware è quello di disporre di buoni backup. Tuttavia, non tutti i metodi di backup sono uguali.
Spesso gli aggressori navigano fino ai file di backup di un’organizzazione e li corrompono o li cancellano per migliorare le probabilità che un’organizzazione paghi il riscatto.
È fortemente consigliato organizzare i backup offline, in modo che i dati critici siano memorizzati separatamente dalla rete primaria.
I backup cloud con una combinazione di nome utente e password non associati al dominio di un’organizzazione sono un’altra alternativa.
I backup software in loco sono di gran lunga i meno efficaci. Gli aggressori hanno familiarità con molti dei metodi di backup in loco e sanno esattamente come corromperli o cancellarli.
Coinvolgere un team specializzato nella risposta al ransomware può fare la differenza tra rimettere in funzione la vostra organizzazione e perdere per sempre tutto. Avere familiarità con gli aggressori e i loro strumenti, tattiche e procedure è fondamentale.
