Ransomware: l'ultimo capitolo

Il ransomware è la minaccia alla sicurezza informatica più significativa che le organizzazioni devono affrontare oggi. Ma recentemente, sia i leader della National Security Agency che dell'FBI ha indicato che gli attacchi sono diminuiti durante la prima metà del 2022. La combinazione delle sanzioni contro la Russia, da cui provengono molte bande di criminali informatici, e del crollo dei mercati delle criptovalute potrebbe aver avuto un effetto, rendendo difficile per le bande di ransomware estrarre fondi e ottenere i loro pagamenti.

Ma non siamo ancora fuori pericolo. Nonostante un calo temporaneo, il ransomware non solo prospera ma si evolve anche. Oggi, il ransomware-as-a-service (RaaS) si è evoluto da un modello standardizzato e automatizzato che si basa su kit di exploit preconfezionati, a un'operazione aziendale sofisticata, altamente mirata e gestita da esseri umani. Questo è motivo di preoccupazione per le aziende di qualsiasi dimensione.

Diventare RaaS

È ampiamente noto che i criminali informatici di oggi sono ben attrezzati, altamente motivati ​​e molto efficaci. Non sono diventati così per caso e non sono rimasti così efficaci senza continuazione evolvendo le proprie tecnologie e metodologie. La motivazione di un massiccio guadagno finanziario è stata l’unica costante.

I primi attacchi ransomware erano attacchi semplici e basati sulla tecnologia. Gli attacchi hanno portato a una maggiore attenzione sulle funzionalità di backup e ripristino, portando gli avversari a cercare backup online e a crittografare anche quelli durante un attacco. Il successo degli aggressori ha portato a riscatti più consistenti e le maggiori richieste di riscatto hanno reso meno probabile che la vittima pagasse e più probabile che le forze dell’ordine venissero coinvolte. Le bande di ransomware hanno risposto con l'estorsione. Sono passati non solo alla crittografia dei dati, ma anche all'esfiltrazione e alla minaccia di rendere pubblici i dati spesso sensibili dei clienti o dei partner della vittima, introducendo un rischio più complesso di danno al marchio e alla reputazione. Oggi, non è insolito che gli aggressori di ransomware cerchino la polizza di assicurazione informatica della vittima per stabilire la richiesta di riscatto e rendere l'intero processo (compreso il pagamento) il più efficiente possibile.

Abbiamo assistito anche ad attacchi ransomware meno disciplinati (ma ugualmente dannosi). Ad esempio, la scelta di pagare un riscatto a sua volta identifica anche una vittima come una persona affidabile per un attacco futuro, aumentando la probabilità che venga colpita nuovamente, dallo stesso gruppo di ransomware o da un diverso. Stime di ricerca tra 50% a% 80 (PDF) Le organizzazioni che hanno pagato un riscatto hanno subito attacchi ripetuti.

Con l’evoluzione degli attacchi ransomware, si sono evolute anche le tecnologie di sicurezza, soprattutto nelle aree di identificazione e blocco delle minacce. Le tecnologie antiphishing, filtri antispam, antivirus e rilevamento malware sono state tutte ottimizzate per affrontare le minacce moderne e ridurre al minimo il rischio di compromissione tramite e-mail, siti Web dannosi o altri vettori di attacco popolari.

Questo proverbiale gioco “gatto e topo” tra avversari e fornitori di sicurezza che offrono difese migliori e approcci sofisticati per fermare gli attacchi ransomware ha portato a una maggiore collaborazione all’interno delle reti di criminali informatici globali. Proprio come gli scassinatori e gli specialisti degli allarmi utilizzati nelle rapine tradizionali, gli esperti nello sviluppo di malware, nell'accesso alla rete e nello sfruttamento stanno alimentando gli attacchi odierni e ha creato le condizioni per la prossima evoluzione del ransomware.

Il modello RaaS oggi

RaaS si è evoluto fino a diventare un'operazione sofisticata, guidata da esseri umani, con un modello di business complesso e di condivisione degli utili. Un operatore RaaS che in passato potrebbe aver lavorato in modo indipendente ora stipula contratti con specialisti per aumentare le possibilità di successo.

Un operatore RaaS, che gestisce specifici strumenti ransomware, comunica con la vittima e garantisce i pagamenti, ora lavorerà spesso a fianco di un hacker di alto livello, che eseguirà l’intrusione stessa. La presenza di un aggressore interattivo all'interno dell'ambiente di destinazione consente il processo decisionale in tempo reale durante l'attacco. Lavorando insieme, identificano punti deboli specifici all’interno della rete, aumentano i privilegi e crittografano i dati più sensibili per garantire i pagamenti. Inoltre, effettuano ricognizioni per trovare ed eliminare backup online e disabilitare gli strumenti di sicurezza. L'hacker a contratto lavorerà spesso a fianco di un broker di accesso, che è responsabile di fornire l'accesso alla rete attraverso credenziali rubate o meccanismi di persistenza già in atto.

Gli attacchi risultanti da questa collaborazione di competenze hanno l’aspetto e l’aspetto di attacchi di tipo “vecchio stile”, sponsorizzati dallo stato, avanzati e persistenti, ma sono molto più diffusi.

Come le organizzazioni possono difendersi

Il nuovo modello RaaS gestito dall’uomo è molto più sofisticato, mirato e distruttivo rispetto ai modelli RaaS del passato, ma esistono ancora best practice che le organizzazioni possono seguire per difendersi.

Le organizzazioni devono essere disciplinate riguardo alla loro igiene della sicurezza. L'IT è in continua evoluzione e ogni volta che viene aggiunto un nuovo endpoint o viene aggiornato un sistema, c'è il potenziale per introdurre una nuova vulnerabilità o rischio. I team di sicurezza devono rimanere concentrati sulle migliori pratiche di sicurezza: applicazione di patch, utilizzo dell’autenticazione a più fattori, applicazione di credenziali forti, scansione del Dark Web per credenziali compromesse, formazione dei dipendenti su come individuare tentativi di phishing e altro ancora. Questi le migliori pratiche aiutano a ridurre la superficie di attacco e ridurre al minimo il rischio che un broker di accesso sia in grado di sfruttare una vulnerabilità per ottenere l’ingresso. Inoltre, quanto più forte è l’igiene della sicurezza di un’organizzazione, tanto meno “rumore” ci sarà per gli analisti da smistare nel centro operativo di sicurezza (SOC), consentendo loro di concentrarsi sulla minaccia reale quando ne viene identificata una.

Oltre alle migliori pratiche di sicurezza, le organizzazioni devono anche garantire di disporre di capacità avanzate di rilevamento e risposta alle minacce. Poiché i broker di accesso dedicano tempo alla ricognizione dell'infrastruttura dell'organizzazione, gli analisti della sicurezza hanno l'opportunità di individuarli e fermare l'attacco nelle sue fasi iniziali, ma solo se dispongono degli strumenti giusti. Le organizzazioni dovrebbero cercare soluzioni estese di rilevamento e risposta in grado di rilevare e correlare in modo incrociato la telemetria dagli eventi di sicurezza su endpoint, reti, server, sistemi di posta elettronica e cloud e applicazioni. Hanno inoltre bisogno della capacità di rispondere ovunque venga identificato l’attacco per bloccarlo rapidamente. Le grandi imprese potrebbero avere queste funzionalità integrate nel proprio SOC, mentre le organizzazioni di medie dimensioni potrebbero voler prendere in considerazione il modello di rilevamento e risposta gestito per il monitoraggio e la risposta alle minacce 24 ore su 7, XNUMX giorni su XNUMX.

Nonostante il recente calo degli attacchi ransomware, i professionisti della sicurezza non dovrebbero aspettarsi che la minaccia si estingua presto. RaaS continuerà ad evolversi, con gli ultimi adattamenti sostituiti da nuovi approcci in risposta alle innovazioni in materia di cibersicurezza. Ma concentrandosi sulle migliori pratiche di sicurezza abbinate alle principali tecnologie di prevenzione, rilevamento e risposta alle minacce, le organizzazioni diventeranno più resilienti agli attacchi.