Sebbene gli attacchi ransomware possano essere difficili da prevenire in modo proattivo, le aziende possono impedirne la diffusione ed evitare danni estesi implementando diverse misure difensive chiave.
Negli ultimi anni, gli attacchi ransomware sono cresciuti a dismisura in tutto il mondo, devastando le aziende e costando loro miliardi di euro. L’emergere degli attacchi WannaCry e NotPetya nel 2017 ha trasformato il ransomware da un semplice fastidio ad incubo per la sicurezza, poiché questi attacchi sono stati i primi ad abbinare un payload di crittografia con la propagazione automatizzata.
Questa svolta nella propagazione consente agli hacker di aggirare le misure di sicurezza, sfruttare le credenziali compromesse e quindi crittografare rapidamente i dati di un endpoint dopo l’altro, fino a quando un’organizzazione non viene messa in ginocchio. La maggior parte, se non tutte, le aziende non possono impedire in modo proattivo la propagazione automatizzata di un payload ransomware.
La struttura di un attacco ransomware
Ogni attacco ransomware ha tre fasi: consegna, esecuzione e propagazione.
1. Consegna
In questa prima fase cruciale, il payload del ransomware viene inserito in un endopoint. Gli aggressori hanno una vasta gamma di metodi di consegna e vulnerabilità di sicurezza tra cui scegliere: in particolare e-mail di spam/phishing, pratiche degli utenti inadeguate, mancanza di formazione sulla sicurezza informatica, password deboli e accesso al protocollo desktop remoto (RDP) aperto.
Questo grafico, di Statista, rivela quali sono i vettori di consegna più in uso.
Per proteggersi dalla distribuzione di ransomware, la maggior parte delle aziende utilizza un gateway di sicurezza della posta elettronica o una sofisticata piattaforma di protezione degli endpoint (EPP).
Il gateway di sicurezza gestisce e filtra tutto il traffico e-mail in entrata e in uscita, rilevando e rimuovendo i contenuti rischiosi.
L’EPP fornisce una protezione completa dal ransomware, poiché spesso utilizza l’autenticazione a più fattori (MFA) sulle connessioni RDP per impedire agli aggressori di connettersi con credenziali compromesse.
2. Esecuzione
A questo punto, il payload inizia a funzionare su una workstation o su un server, crittografando rapidamente tutti i file di dati.
Sebbene esistano molte varianti di ransomware, WannaCry rimane il più attivo, minaccioso e costoso, con danni per un totale di almeno $ 4 miliardi in 150 paesi. Nel 2019, il 21,85% degli utenti colpiti da cripto-ransomware sono stati colpiti da WannaCry.
Per protezione, le aziende in genere utilizzano un EPP nella speranza che interrompa l’esecuzione di qualsiasi processo rilevato come ransomware.
3. Propagazione
Questa è la fase finale, in cui il ransomware viene copiato nel maggior numero possibile di macchine e nel più breve tempo possibile, generalmente tramite autenticazione con credenziali compromesse. La superficie di attacco preferita sono le cartelle condivise perché ogni utente aziendale ha accesso almeno ad alcune di esse.
Sfide di rilevamento e protezione
Una volta che il ransomware raggiunge l’ultima fase, quella della propagazione, il risultato è sempre un esteso danno. Tuttavia, questa fase è un punto cieco per le aziende perché nessuna soluzione di sicurezza può impedire la propagazione automatica del ransomware in tempo reale. Se una variante di ransomware riesce a bypassare le misure di sicurezza di consegna ed esecuzione, e alcune varianti lo fanno sempre, si propagherà.
La prima grande sfida è rilevare cosa sta facendo il ransomware: utilizzare credenziali compromesse per eseguire un’autenticazione standard con un’altra macchina. Sebbene questa attività sia dannosa, sembra identica a qualsiasi autenticazione legittima nell’ambiente. Il provider di identità approverà la connessione perché non è in grado di distinguere tra autenticazioni legittime e dannose.
Ovviamente, la seconda grande sfida è trovare un modo per bloccare le autenticazioni dannose in tempo reale.
Chiavi per sconfiggere il ransomware
L’unico modo per fermare il ransomware è creare o acquistare funzionalità che impediscano l’uso di credenziali compromesse. Idealmente, questa operazione deve essere eseguita in tempo reale e integrarsi in modo nativo con tutti i provider di identità per applicare il monitoraggio continuo, l’analisi dei rischi e l’applicazione delle policy ad ogni tentativo di accesso alle risorse on-premise e cloud.
Ecco qui di seguito alcune linee guida per l’implementazione di misure difensive che impediscono al ransomware di spostarsi lateralmente all’interno dell’ambiente:
- Continuous Monitoring
Questa funzionalità rivede ed analizza tutti i tentativi di autenticazione e accesso dell’account utente, creando precisi profili di comportamento delle normali attività degli utenti e dei loro endpoint. L’obiettivo: identificare comportamenti anomali e bloccare i tentativi di autenticazione ransomware. - Analisi dei rischi
Un risk assessment è essenziale per prevenire la propagazione automatizzata, che avvia numerosi tentativi di accesso in tempo reale da una singola macchina e da un singolo account utente. Il risk assessment dovrebbe contrassegnare automaticamente tale comportamento anomalo ed aumentare il punteggio di rischio sia dell’account utente che della macchina. - Applicazione dinamica dei criteri di accesso
Questa funzionalità consentirebbe al personale addetto alla sicurezza di modificare una policy di accesso in base a punteggi di rischio in tempo reale e potenziare l’autenticazione con MFA o addirittura bloccare l’accesso. In caso di propagazione automatica del ransomware, la policy richiederebbe l’autenticazione a più fattori quando il punteggio di rischio di un account utente è elevato. La policy si applicherebbe a tutte le interfacce di accesso. Applicando una policy basata sul punteggio del rischio in tempo reale, è possibile prevenire la propagazione, limitando gli attacchi a un singolo endpoint.
La prevenzione degli incidenti ransomware che bloccano i processi aziendali richiede una solida posizione di sicurezza che comprenda l’applicazione tempestiva di patch grazie a servizi come il Vulnerability Assessment e Network Security Assessment e formazione sulla sicurezza degli utenti finali con i servizi di Academy. Tuttavia, una volta che il ransomware si è installato nell’ambiente, l’ultima linea di difesa consiste nel monitorare, valutare il rischio e bloccare le richieste di autenticazione dannose.
Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.
Una Padawan Etichal pronta a difendere l’anello più debole della catena…
Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.
Tre caratteristiche che la distinguono:
La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna
Colore preferito? Verde, ovviamente!