Come schivare nuove tattiche ransomware

I criminali informatici stanno diventando più strategici e professionali ransomware. Stanno sempre più emulando il modo in cui operano le aziende legittime, sfruttando anche una crescente catena di fornitura del crimine informatico come servizio.

Questo articolo descrive quattro principali tendenze dei ransomware e fornisce consigli su come evitare di cadere vittima di questi nuovi attacchi. 

1. IAB in aumento

La criminalità informatica sta diventando sempre più redditizia, come evidenziato dalla crescita dei broker di accesso iniziale (IAB) specializzati nell’attacco alle aziende, nel furto di credenziali e nella vendita dell’accesso ad altri aggressori. Gli IAB sono il primo anello della catena di uccisione del crimine informatico come servizio, un'economia sommersa di servizi standardizzati che qualsiasi potenziale criminale può acquistare per costruire sofisticate catene di strumenti per eseguire quasi tutti i reati digitali immaginabili.

I principali clienti degli IAB sono operatori di ransomware, disposti a pagare per l’accesso a vittime già pronte mentre concentrano i propri sforzi sull’estorsione e sul miglioramento del proprio malware.

Nel 2021 erano più di 1,300 elenchi IAB sui principali forum sulla criminalità informatica monitorati dal KELA Cyber ​​Intelligence Center, di cui quasi la metà proviene da 10 IAB. Nella maggior parte dei casi, il prezzo per l’accesso era compreso tra 1,000 e 10,000 dollari, con un prezzo di vendita medio di 4,600 dollari. Tra tutte le offerte disponibili, figuravano le credenziali VPN e l'accesso come amministratore di dominio il più prezioso.

2. Gli attacchi fileless volano sotto il radar

I criminali informatici stanno prendendo spunto dalle minacce avanzate persistenti (APT) e dagli aggressori di tipo nazionale, impiegando tecniche living-off-the-land (LotL) e fileless per aumentare le loro possibilità di eludere il rilevamento e distribuire con successo il ransomware.

Questi attacchi sfruttano strumenti software legittimi e disponibili al pubblico, spesso presenti nell’ambiente del bersaglio. Ad esempio, il 91% di Ransomware DarkSide Secondo i dati, gli attacchi hanno coinvolto strumenti legittimi e solo il 9% ha utilizzato malware una relazione da Picus Sicurezza. Sono stati scoperti altri attacchi che erano al 100% senza file.

In questo modo, gli autori delle minacce eludono il rilevamento evitando gli indicatori “noti come dannosi”, come i nomi dei processi o gli hash dei file. Anche gli elenchi di applicazioni consentite, che consentono l'utilizzo di applicazioni attendibili, non riescono a limitare gli utenti malintenzionati, in particolare per le app onnipresenti. 

3. Gruppi ransomware che prendono di mira obiettivi di basso profilo

L'alto profilo Pipeline coloniale L'attacco ransomware del maggio 2021 ha colpito le infrastrutture critiche in modo così grave da innescare un conflitto internazionale e risposta del governo superiore.

Tali attacchi che fanno notizia spingono a controlli e sforzi concertati da parte delle forze dell’ordine e delle agenzie di difesa per agire contro gli operatori di ransomware, portando all’interruzione delle operazioni criminali, nonché ad arresti e procedimenti giudiziari. La maggior parte dei criminali preferisce tenere le proprie attività nascoste. Dato il numero di potenziali obiettivi, gli operatori possono permettersi di essere opportunisti riducendo al minimo il rischio per le proprie operazioni. Gli autori del ransomware sono diventati molto più selettivi nel prendere di mira le vittime, grazie ai dati dettagliati e granulari forniti dagli IAB.

4. Gli addetti ai lavori sono tentati da un pezzo di torta

Gli operatori di ransomware hanno anche scoperto che possono arruolare dipendenti disonesti per aiutarli ad ottenere l'accesso. Il tasso di conversione può essere basso, ma il profitto può valere lo sforzo.

A sondaggio di Hitachi ID effettuate tra il 7 dicembre 2021 e il 4 gennaio 2022, hanno rilevato che il 65% degli intervistati ha affermato che i propri dipendenti erano stati contattati da autori di minacce per aiutarli a fornire l’accesso iniziale. Gli addetti ai lavori che abboccano hanno diverse ragioni per essere disposti a tradire la propria azienda, sebbene l’insoddisfazione nei confronti del proprio datore di lavoro sia la motivazione più comune.

Qualunque sia il motivo, le offerte dei gruppi di ransomware possono essere allettanti. Nel sondaggio Hitachi ID, al 57% dei dipendenti contattati è stato offerto meno di 500,000 dollari, al 28% è stato offerto tra 500,000 e 1 milione di dollari e all'11% è stato offerto più di 1 milione di dollari.

Azioni pratiche per migliorare la protezione

Le tattiche in evoluzione discusse qui aumentano la minaccia degli operatori di ransomware, ma ci sono misure che le organizzazioni possono intraprendere per proteggersi:

• Seguire le migliori pratiche Zero Trust, come l’autenticazione a più fattori (MFA) e l’accesso con privilegi minimi, per limitare l’impatto delle credenziali compromesse e aumentare la possibilità di rilevare attività anomale.
• Concentrarsi sulla mitigazione delle minacce interne, una pratica che può aiutare a limitare le azioni dannose non solo da parte dei dipendenti ma anche da parte di attori esterni (che, dopo tutto, sembrano essere interni una volta ottenuto l’accesso).
  
• Condurre una caccia regolare alle minacce, che può aiutare a rilevare attacchi fileless e autori di minacce che lavorano per eludere tempestivamente le tue difese.

Gli aggressori sono sempre alla ricerca di nuovi modi per infiltrarsi nei sistemi delle organizzazioni e le nuove strategie a cui stiamo assistendo aumentano sicuramente i vantaggi che i criminali informatici hanno rispetto alle organizzazioni impreparate agli attacchi. Tuttavia, le organizzazioni sono tutt’altro che impotenti. Adottando le misure pratiche e comprovate descritte in questo articolo, le organizzazioni possono rendere la vita molto dura agli IAB e ai gruppi di ransomware, nonostante la loro nuova gamma di tattiche.