ransomwares

Sanità e ransomware: 5 azioni fondamentali da mettere in atto

NOTA: per ulteriori informazioni e risorse, visita la nostra pagina dedicata al ransomware mirato al settore sanitario.

Lo scoppio del COVID-19 ha portato una forte accelerazione degli attacchi informatici ai fornitori di servizi sanitari. I fattori che contribuiscono a tali attacchi includono, ma non sono limitati a:

  • Operazioni aziendali decentralizzate
  • Strutture di emergenza COVID-19 installate senza protezione pianificata dell’infrastruttura IT
  • Un aumento significativo della quantità di dati sulla salute dei pazienti archiviati dalle organizzazioni sanitarie
  • La telemedicina e i lavoratori remoti sono stati lanciati in tutto il mondo quasi dall’oggi al domani, aprendo lacune nella sicurezza

Ultimamente il ransomware Ryuk, in particolare, è stato protagonista di una rinascita. Sophos ha recentemente identificato una nuova campagna di spam collegata agli attori Ryuk e il nostro team di Managed Threat Response ha assistito un’organizzazione nella mitigazione di un attacco Ryuk, fornendo informazioni su come si sono evoluti gli strumenti, le tecniche e le pratiche degli attori di questo ransomware.

L’indagine ha mostrato un’evoluzione degli strumenti utilizzati per compromettere le reti prese di mira e distribuire il ransomware. Ma l’aspetto peggiore è stata la rapidità con cui gli attacchi sono potuti passare dalla compromissione iniziale alla distribuzione del ransomware. Entro tre ore e mezza dall’apertura di un allegato e-mail di phishing da parte di un bersaglio, gli aggressori stavano già effettuando una ricognizione della rete. Nel giro di un giorno avevano ottenuto l’accesso a un controller di dominio e si trovavano nelle prime fasi di un tentativo di implementare il ransomware.

Le tecniche di evasione del ransomware stanno cambiando rapidamente. Negli ultimi anni, siamo passati dagli attacchi di forza bruta su larga scala ad attacchi mirati, pianificati ed eseguiti manualmente e quindi molto più difficili da rilevare e bloccare. Gli esseri umani stanno creando malware artigianale.

I criminali hanno ibridato i loro attacchi, combinando l’automazione per trovare vittime con lacune nelle loro difese. Server esposti con Remote Desktop Protocol (RDP) abilitato, amministratori senza autenticazione a più fattori per l’accesso remoto, server Web senza patch o anche gli stessi problemi presso un partner o un fornitore di servizi di fiducia sono sufficienti per mettere sotto riscatto la rete, i sistemi e le risorse.

Ecco le cinque cose che gli operatori sanitari possono fare per proteggersi dagli attacchi ransomware:

  1. Mantieni l’igiene dell’IT. Assicurati di praticare l’igiene IT di base, che include l’installazione di tutte le patch più recenti, l’arresto completo di RDP (o l’inserimento di esso dietro una VPN) e l’esecuzione di backup regolari e la loro conservazione fuori sede dove gli aggressori non riescono a trovarli. Ciò comprende anche l’applicazione dell’autenticazione a più fattori ai servizi che ospitano i dati più sensibili nella tua organizzazione. Questi sono solo alcune delle contromisure fondamentali che puoi adottare per proteggere te stesso e la tua rete oggi.
  2. Educa i tuoi utenti. Insegna loro l’importanza di password complesse e implementa l’autenticazione a due fattori ovunque possibile. Istruiscili sul phishing, che è uno dei principali meccanismi di distribuzione del ransomware.
  3. Riduci al minimo il rischio di movimento laterale all’interno della tua rete. Segmenta le LAN in zone più piccole e isolate o in VLAN protette e connesse al firewall. Assicurati di applicare criteri IPS adeguati alle regole che governano il traffico che attraversa questi segmenti LAN per evitare che exploit, worm e bot si diffondano tra i segmenti LAN. E se si verifica un’infezione, isola automaticamente i sistemi infetti fino a quando non possono essere eliminati.
  4. Utilizza gli strumenti di rilevamento e risposta degli endpoint (EDR) con la protezione degli endpoint. Il ransomware mirato oggi non si limita a bloccare un malware; si tratta di fermare un avversario attivo e interrompere la catena di attacchi che lo mette in grado di eseguire il malware. Assicurati che ogni endpoint sia protetto e aggiornato. Un dispositivo che non funziona correttamente potrebbe non essere protetto e potrebbe essere esposto a un attacco ransomware. Utilizza gli strumenti di endpoint detection and response (EDR) con la protezione degli endpoint. Una volta attivato, l’EDR mettere in atto rapidamente le azioni appropriate per fermare tali minacce.
  5. Colma il divario con l’intervento umano. Computer, automazione e tools sono sorprendenti, ma l’intelletto umano, il riconoscimento dei modelli e la nostra capacità di applicare al contesto forniscono una difesa ancora più formidabile. I servizi di rilevamento e risposta gestiti (MDR) sono fondamentali qui. Associare i team IT e di sicurezza interni a un gruppo esterno di cacciatori di minacce e di risposta ad esse d’élite aiuta a fornire consigli pratici per affrontare le cause profonde degli incidenti ricorrenti.

Sophos Intercept X Advanced con EDR

Sophos Intercept X Advanced con EDR include tutte le funzionalità necessarie per proteggere la tua organizzazione dagli attacchi ransomware come Ryuk, Sodinokibi, Maze e Ragnar Locker.

Intercept X comprende una tecnologia anti-ransomware che rileva i processi di crittografia dannosi e li arresta prima che possano diffondersi nella rete. La tecnologia anti-exploit interrompe la distribuzione e l’installazione del ransomware, il deep learning blocca il ransomware prima che possa essere eseguito e CryptoGuard impedisce la cifratura dannosa dei file, riportandoli in sicurezza.

Inoltre, Sophos EDR aiuta a gestire in modo semplice la caccia alle minacce e l’igiene delle operazioni IT sull’intero parco macchine. Sophos EDR consente al tuo team di porre domande dettagliate per identificare minacce avanzate, avversari attivi e potenziali vulnerabilità IT e quindi applicare rapidamente le azioni appropriate per fermarli. Ti consente di rilevare i nemici in agguato nella tua rete e in attesa di distribuire ransomware che potrebbero essere passati inosservati.

Sophos Managed Threat Response (MTR)

Il servizio Sophos MTR aggiunge l’esperienza umana alla tua strategia di sicurezza su più livelli. Un team d’élite di cacciatori di minacce cerca e convalida in modo proattivo le potenziali minacce per tuo conto. Se autorizzati, intraprendono azioni per interrompere, contenere e neutralizzare le minacce e fornire consigli pratici su come affrontare le cause profonde degli incidenti ricorrenti. 

Sophos Rapid Response

Se la tua organizzazione è sotto attacco e necessita di assistenza immediata per la risposta agli incidenti, Sophos può aiutarti.

Fornito da un team esperto di soccorritori in caso di incidenti, Sophos Rapid Response offre un’assistenza rapidissima per l’identificazione e la neutralizzazione delle minacce attive contro le organizzazioni. L’onboarding inizia entro poche ore e la maggior parte dei clienti viene presa in carico entro 48 ore. Il servizio è disponibile sia per i clienti Sophos esistenti che per chi non lo è ancora.

Il team di Sophos Rapid Response interviene rapidamente per valutare, contenere e neutralizzare le minacce attive. Gli attaccanti vengono espulsi dalla tua proprietà per evitare ulteriori danni ai tuoi beni.

Letture correlate