Esistono diverse varianti di ransomware. Tuttavia, esaminare gli IOC specifici basati su nomi di dominio, indirizzi IP e hash di file sospetti associati ad attività dannose note può aiutarvi a scoprire maggiori informazioni sull'origine dell'attacco e su come rispondere.
Descrizione del ransomware
Il ransomware è un tipo di malware che crittografa i dati ad alto valore di un'organizzazione, come file, documenti e immagini, per poi richiedere un riscatto all'azienda per ripristinare l'accesso a tali dati. Per avere esito positivo, il malware ransomware deve accedere a un sistema di destinazione, dove crittografare i file per poi richiedere un riscatto all'azienda. Per ottenere la restituzione dei dati crittografati, in genere è necessario pagare un riscatto in bitcoin o criptovaluta.
Il ransomware è un tipo di malware che crittografa i dati di un'organizzazione e quindi richiede un riscatto all'azienda per sbloccare i file crittografati.
Un tempo semplicemente un fastidioso malware usato dai criminali informatici per limitare l'accesso a file e dati tramite la crittografia, si è trasformato in un metodo di attacco di proporzioni epiche. La perdita definitiva di dati è un danno scioccante, ma oggi i criminali informatici e gli autori di attacchi governativi sono talmente sofisticati da usare i ransomware per penetrare e paralizzare aziende, governi federali, infrastrutture globali e organizzazioni sanitarie.
Qual è l'impatto del ransomware?
Nel 2020, l'attacco ransomware Snake ha provocato l'arresto delle operazioni globali di Honda. Nella stessa settimana, Snake, un tipo di malware in grado di crittografare i dati, ha colpito anche Enel Argentina, la società di distribuzione dell'energia elettrica in Sudamerica. Nel 2019, i criminali informatici hanno crittografato file che hanno bloccato le reti informatiche di Pemex, il conglomerato statale per la produzione di gas e petrolio del Messico, il cui ripristino del servizio ha richiesto 5 milioni di dollari. Infine, nel 2017, il cryptoworm WannaCry ha colpito 230.000 computer in tutto il mondo, sfruttando una vulnerabilità di Microsoft Windows.
Oggi giorno, a causa di una combinazione di tecnologie obsolete, strategie di difesa deboli e incentrate esclusivamente sui perimetri e sugli endpoint, mancanza di formazione (e scarsi protocolli di sicurezza) e assenza di una soluzione nota, le organizzazioni di tutte le dimensioni sono a rischio, soprattutto da quando i criminali informatici stanno cercando di crittografare il maggior numero possibile di sistemi informatici sulle reti aziendali per estorcere un riscatto di migliaia o milioni di dollari. Infatti, nel 2021, si stima che gli attacchi ransomware si siano verificati ogni undici secondi e siano costati 20 miliardi di dollari.
Come viene diffuso il ransomware?
Un metodo diffuso per introdurre il ransomware in un nuovo ambiente è l'uso di phishing o e-mail di phishing. Un'e-mail o un allegato e-mail dannoso può contenere un collegamento a un sito web che ospita un download di malware o un allegato con un downloader integrato. Se il destinatario dell'e-mail apre l'e-mail di phishing, il ransomware viene scaricato ed eseguito immediatamente sul suo computer.
Una volta che un endpoint o il computer della vittima è stato compromesso, l'attacco informatico tenterà di diffondersi al maggior numero possibile di computer in tutta la rete eseguendo movimenti laterali non autorizzati per massimizzare il raggio d'azione (crittografando il maggior numero possibile di dischi).
Un altro noto vettore di infezione ransomware sfrutta l' RDP (Remote Desktop Protocol) . Con l'RDP, un hacker che ha ottenuto l'accesso alle credenziali di accesso può utilizzarle per autenticarsi e accedere in remoto agli endpoint all'interno di una rete aziendale. Con questo accesso, i malintenzionati possono scaricare ed eseguire direttamente il malware sui computer sotto il loro controllo e tentare di spostarsi lateralmente nell'ambiente, catturando e crittografando i dati su risorse aggiuntive.
La crittografia dei file di un utente è l'aspetto unico di un attacco ransomware. Crittografando dati di elevato valore, i criminali informatici o gli autori di attacchi ransomware possono richiedere un riscatto in cambio della decrittografia o delle chiavi di decrittografia per restituire i file all'azienda. Tuttavia, gli autori di attacchi ransomware non sempre rilasciano i file crittografati all'organizzazione, anche se paga il riscatto.
Per ulteriori informazioni, leggete il nostro blog Come viene effettivamente diffuso il ransomware?
Perché i tentativi di protezione contro il ransomware tramite i firewall legacy sono inefficaci?
I firewall legacy controllano le comunicazioni tra VLAN e zone. Tuttavia, i firewall legacy non consentono di bloccare il traffico all'interno della VLAN, quindi questo approccio è inefficace quando si desidera impedire la propagazione all'interno di un segmento. Ciò è dovuto alle diverse limitazioni dell'architettura di rete con il modello di firewall legacy esistente. Una volta che un utente malintenzionato ha violato un computer su una VLAN, violerà probabilmente anche un altro computer presente sulla stessa VLAN e lo utilizzerà per passare ad altre risorse nel data center, inclusi i server di backup.
Come rilevare e bloccare le minacce ransomware
Come responsabili delle sicurezza, dovete cercare di limitare il più possibile l'accesso tra i computer per prevenire il movimento laterale. In particolare ai protocolli e ai servizi, spesso sfruttati dalle campagne di ransomware. Non vi è alcun motivo per cui i laptop dei dipendenti comunichino tra loro e nessun motivo per cui i membri del dominio si connettano tramite SMB
Le nostre soluzioni di segmentazione consentono ai responsabili della sicurezza di limitare il traffico tra due computer qualsiasi. Poiché la piattaforma utilizza un approccio di segmentazione basato su software, è possibile creare policy che bloccano la comunicazione tra laptop o limitano il traffico SMB tra i membri del dominio e consentono loro di accedere solo a server specifici come il controller di domini.
Inoltre, Akamai offre visibilità, fino al livello di processo, delle comunicazioni e delle dipendenze tra le tue risorse. Ciò consente di valutare anticipatamente il rischio e di sviluppare strategie proattive per la protezione di asset critici e componenti ad alto rischio come i backup.
La piattaforma è inoltre dotata di affidabili funzionalità di rilevamento delle minacce, che consente di cercare l'eventuale comunicazione con domini dannosi noti o la presenza di processi dannosi noti nel vostro ambiente che potrebbero indicare una violazione del malware.
Per ulteriori informazioni, leggete il nostro blog 4 tecniche per il rilevamento tempestivo del ransomware
Cosa è necessario fare quando si si subisce un attacco ransomware?
Poiché il ransomware si basa sul movimento laterale per compiere un attacco di successo, è qui che le organizzazioni dovrebbero concentrare i propri sforzi. Se determinate che è in corso un attacco ransomware attivo, utilizzate strumenti che forniscono visibilità per comprendere la portata della violazione. Sulla base di quanto appreso, potete quindi isolare le parti interessate della rete dal resto dell'organizzazione e aggiungere più livelli di sicurezza alle applicazioni e ai backup critici. Solo dopo aver adottato le misure di mitigazione e aver ripristinato i servizi, potete riattivare gradualmente i flussi di comunicazione.
Quando si dispone di un elenco di tutti i computer e degli indicatori di compromissione (IOC), potete iniziare la disinfezione. Dividete i computer in tre gruppi: Isolati, Monitorati e Puliti.
Per ulteriori informazioni, leggete il nostro blog Blocco del ransomware e del movimento laterale con la segmentazione
Come funziona il cripto-ransomware?
Un attacco ransomware comincia con una violazione iniziale, spesso eseguita tramite social engineering, e-mail di phishing, allegati e-mail dannosi o vulnerabilità nel perimetro della rete. Il malware inizierà a spostarsi lungo la tua rete e tenterà di massimizzare i danni dal suo punto di approdo. In genere, i malintenzionati cercano di impossessarsi di un controller di dominio, compromettono le credenziali, quindi individuano e crittografano qualsiasi backup di dati per impedire all'operatore di ripristinare i servizi compromessi e bloccati.
Come è possibile scoprite il tipo di ransomware da cui si è stati colpiti?
Quali sono le forme più comuni di ransomware?
Alcune campagne sono minacce avanzate e persistenti (APT) altamente mirate gestite da un utente malintenzionato, mentre altre sono opportunistiche, in genere eseguite da script. Tuttavia, ci sono due categorie principali. Gli attacchi che crittografano i file bloccandoli per richiedere il pagamento di un riscatto sono noti come cripto-ransomware e il ransomware che impedisce agli utenti di accedere a un dispositivo è noto come locker ransomware.
Nuovi tipi di ransomware, codice dannoso, software dannoso, allegati dannosi, scareware e altre nuove varianti di ransomware vengono rilevati frequentemente in azione. Ci sono anche casi documentati di ransomware-as-a-service (RaaS) a pagamento, un esempio è REvil (Ransomware Evil; noto anche come Sodinokibi) che era un RaaS privato con sede in Russia o di lingua russa.
Come ha avuto origine il ransomware?
Se guardiamo indietro a pochi anni fa, la maggior parte degli attacchi ransomware utilizzava il malvertising come vettore di penetrazione iniziale mirato a praticamente tutti gli utenti che caricavano tali inserzioni pubblicitarie dannose, da "Bob del reparto di contabilità" in una grande azienda alla nonna che cerca di leggere le sue e-mail. Il ransomware non faceva distinzioni tra i destinatari da prendere di mira: prendeva di mira tutti e se queste vittime pagavano, bene , altrimenti andava bene lo stesso perché c'erano molte altre potenziali vittime disponibili.
Tuttavia, tutto questo è cambiato nel 2012 con Shamoon, un attacco informatico iraniano mirato contro la società saudita Aramco. Shamoon ha consentito agli autori di attacchi di esfiltrare grandi quantità di informazioni da Aramco e una volta terminata l'esfiltrazione, gli aggressori hanno utilizzato Shamoon per sovrascrivere il record di avvio principale nei computer attaccati, rendendoli inutilizzabili fino alla reinstallazione. Questa perdita di funzionalità ha causato una notevole quantità di downtime per l'azienda.
Locky era un malware ransomware rilasciato nel 2016. Viene distribuito tramite e-mail (spacciandosi per una richiesta di pagamento di una fattura) con un documento Microsoft Word allegato che contiene macro dannose. Quando l'utente apre il documento, risulta incomprensibile e include la frase "Abilita macro se la codifica dei dati non è corretta", una tecnica di social engineering.
Petya è una famiglia di malware scoperta per la prima volta nel 2016. Il malware prende di mira i sistemi basati su Microsoft Windows, compromettendo il record di avvio principale per eseguire un payload che crittografa la tabella del file system di un disco rigido e impedisce l'avvio di Windows. Successivamente richiede all'utente di effettuare un pagamento in bitcoin per riottenere l'accesso al sistema.
Come si è evoluto il ransomware?
Passiamo rapidamente al 2017. WannaCry e NotPetya, due devastanti attacchi ransomware, hanno creato scompiglio in grandi grandi aziende ed enti governativi. La caratteristica unica di questi attacchi, oltre a mostrare quanto sia fragile Internet, era che utilizzavano vulnerabilità zero-day per spostarsi lateralmente tra i computer della rete in modo virulento, infettando e rendendo completamente inutilizzabile ogni computer che incontravano. È stato scritto molto su NotPetya e WannaCry, ma oggi sappiamo che le motivazioni alla base di questi attacchi erano legate ad attacchi informatici avviati da un avversario governativo.
Questi attacchi ransomware hanno quindi iniziato a essere utilizzati da gruppi di crimeware, che fino a quel momento si erano concentrati principalmente sull'utilizzo di malware come Zeus (e tutte le sue varianti) per violare i conti bancari delle persone al fine di sottrarre denaro. Questa era spesso un'operazione lunga, complicata e rischiosa, soprattutto quando si trattava di ricevere effettivamente il denaro. Fino ad ora, la convinzione prevalente era che potesse essere più facile prendere di mira solo le grandi aziende e ricattarle facendogli inviare grandi quantità di denaro in bitcoin, rendendo il ransomware più una minaccia aziendale che deve preoccupare i CISO, ma non necessariamente i privati cittadini ignari
Ryuk è il nome di una famiglia di ransomware, scoperta per la prima volta in circolazione nell'agosto 2018. Prende il nome da un personaggio immaginario in una popolare serie di fumetti e cartoni animati giapponesi ed è attualmente nota come una delle famiglie di ransomware più dannose che abbiano mai colpito i sistemi in tutto il mondo.
Adesso spostiamoci al 2020. Mentre la pandemia di COVID-19 imperversava in tutto il mondo e la maggior parte delle persone è stata costretta a lavorare da casa, cambiando i modelli di minaccia, i fattori di rischio e le architetture di rete con un preavviso molto breve, il mondo ha iniziato a osservare il cambiamento del modus operandi degli operatori di attacchi ransomware. Ora stavano prendendo di mira le grandi aziende compiendo un attacco di doppia estorsione, in cui gli autori di attacchi non solo violavano l'organizzazione, crittografando i file e tenendoli in ostaggio, ma hanno anche iniziato a esfiltrare quei dati preziosi e ad alto valore agli autori di attacchi, minacciando di renderli pubblicamente disponibili se il riscatto non fosse stato pagato.
Un ordine esecutivo promuove la segmentazione per rallentare il ransomware
Nel 2021, in una nota della Casa Bianca in cui si discuteva della crescita degli attacchi ransomware, è stato messo in evidenza il tema dell'importanza spesso trascurata della segmentazione della rete, insieme alle precauzioni e alle raccomandazioni più tradizionali come l'applicazione di patch, 2FA e prodotti di sicurezza aggiornati.
La segmentazione della rete aiuta non solo a mitigare il rischio in alcuni casi, ma anche a ridurre significativamente il rischio di un attacco di doppia estorsione se implementato correttamente, contenendo e riducendo al minimo il "raggio di azione" di un attacco ransomware. Anche se il software antivirus e gli EDR (link a ) non sono riusciti a impedire l'esecuzione del ransomware, una segmentazione adeguata conterrà il danno e non consentirà ai criminali di spostarsi lateralmente sulla rete per rubare dati più sensibili e crittografare più computer.
La granularità della segmentazione di una rete con l'approccio software unico di Akamai consente di creare "silos di rete" tra server, applicazioni, diversi sistemi operativi, istanze cloud e così via. La potenza della riduzione del rischio di ransomware utilizzando una policy di segmentazione adeguata deriva dalla sua semplicità: un bit può essere trasmesso tramite cavo (o un Vswitch) su un a computer diverso (o una VM/un contenitore) oppure può essere bloccato, rendendo inutile il tentativo degli autori di attacchi di raggiungere più risorse sulla rete, fornendo al team blu più tempo per rispondere all'attacco e aggiornare le principali parti interessate dell'organizzazione in modo che possano prendere decisioni informate relative al danno di tale attacco.
La segmentazione della rete non è un'alternativa a una piattaforma antivirus, antimalware o EDR, è un approccio supplementare che ha dimostrato di ridurre significativamente, se non eliminare completamente, il rischio di attacchi su larga scala basati sui movimenti laterali tra le organizzazioni.
Per ulteriori informazioni, leggete il nostro blog EDR o segmentazione: scopriamo le differenze
Come si può combattere la minaccia ransomware?
Questa nuova era di attacchi ransomware mette in luce un problema la cui soluzione era attesa da tempo: il movimento laterale.
Per poter esfiltrare tutti quei dati, gli autori di attacchi devono sapere la loro posizione sulla rete e, per saperla, devono mappare la rete e conoscerla altrettanto bene (se non meglio) dei progettisti originali. Questo richiede agli aggressori di "muoversi lateralmente" da un computer/server a un altro, spesso utilizzando credenziali diverse rubandole da vari computer sulla rete.
Molti fornitori di soluzioni per la sicurezza hanno cercato di risolvere questo problema e alcuni ci sono riusciti più di altri. Negli anni, il mercato della sicurezza ha visto comparire nuovi tipi di prodotti per prevenire questo problema, dalle soluzioni DLP agli EDR e agli EPP, tutti hanno tentato di risolvere il problema del movimento laterale con un successo molto parziale.
Risolvere il movimento laterale è difficile: gli autori di attacchi usando le funzioni di una rete contro se stessa.
Utilizzeranno le credenziali dell'amministratore e vari strumenti amministrativi legittimi (come Psexec o Remote Desktop di Microsoft o, persino, WMI) spostandosi da un computer all'altro, eseguendo comandi e payload dannosi per rubare dati e successivamente crittografare la rete e avviare l'operazione di estorsione. Molte organizzazioni stanno investendo risorse nel tentativo di porre un rimedio temporaneo a questo problema monitorando eccessivamente varie risorse tramite prodotti EDR/EPP non destinati a tale scopo, ottenendo così un parziale successo nella mitigazione o addirittura nella riduzione del rischio di un attacco ransomware.
Arresto del movimento laterale con la segmentazione
Tuttavia, esiste una soluzione ed è molto più semplice da implementare di quanto si possa pensare: segmentazione della rete La segmentazione viene spesso dimenticata o addirittura ignorata del tutto poiché si ritiene che sia difficile da implementare e richiede un'attenzione particolare alla progettazione di reti e alla gestione degli asset. Per questo motivo, la segmentazione della rete viene spesso ignorata, lasciando le reti relativamente "semplici", ossia tutti gli endpoint o server possono comunicare tra loro senza alcuna restrizione
Fino a poco tempo fa, segmentare una rete significava inserire risorse diverse in sottoreti diverse con un firewall al centro. Ciò non consentiva alcuna granularità, rendeva la gestione della rete notevolmente più difficile e richiedeva agli amministratori di gestire configurazioni complesse del firewall unitamente alla gestione delle allocazioni di indirizzi IP su diverse sottoreti, rendendo quindi la progettazione e la scalabilità della rete molto più difficile per il personale IT, mentre configurazioni non corrette potrebbero comportare un rischio per la sicurezza o un errore di rete (e, in alcuni casi, anche entrambi!). Questo, ancora una volta, ha fatto sì che il personale IT non si concentrasse sulla segmentazione e riponesse molta più fiducia nei prodotti di prevenzione dell'esecuzione, lasciando la rete completamente semplice e non segmentata
Perché i clienti scelgono Akamai
Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, la nostra innovativa intelligence sulle minacce e il nostro team operativo su scala globale forniscono una difesa approfondita in grado di proteggere i dati e le applicazioni aziendali ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi, grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere la loro attività senza rischi.