Il ransomware è una delle minacce più pericolose per le organizzazioni di oggi. Combatterlo non è un compito facile, soprattutto se si considera che gli aggressori affinano continuamente le loro tecniche e i loro approcci. I cambiamenti più recenti, ad esempio, includono modifiche ai modelli di ransomware-as-a-service (RaaS), l’adozione di nuovi linguaggi di programmazione, l’evoluzione del targeting e della distribuzione e il lancio di attacchi sempre più spesso dopo l’orario di lavoro e nei fine settimana per ostacolare gli sforzi di rilevamento e risposta agli incidenti.
Uno degli aspetti più significativi è l’aumento del ransomware remoto, che sfrutta l’architettura di dominio di un’organizzazione per cifrare i dati su macchine gestite collegate al dominio. Tutta l’attività dannosa – ingresso, esecuzione del payload e cifratura – avviene su una macchina non gestita, aggirando quindi i moderni stack di sicurezza, con l’unica indicazione di compromissione rappresentata dalla trasmissione di documenti da e verso altre macchine. La nostra indagine telemetrica indica che dal 2022 si è registrato un aumento del 62% su base annua degli attacchi intenzionali di cifratura remota. Inoltre, il Digital Defense Report 2023 di Microsoft afferma che circa il 60% degli attacchi ransomware operati dall’uomo prevede la cifratura remota, mentre l’80% di tutte le compromissioni proviene da dispositivi non gestiti, il che indica una mancanza di gestione attiva delle risorse. Le famiglie di ransomware note per supportare la cifratura remota includono Akira, ALPHV/BlackCat, BlackMatter, LockBit e Royal, una tecnica che esiste da tempo: già nel 2013 CryptoLocker prendeva di mira le condivisioni di rete.
Non sorprende che l’ascesa e il continuo sviluppo del ransomware abbiano portato a una pletora di ricerche volte a rilevarlo e prevenirlo, con accademici, ricercatori di sicurezza e fornitori che propongono diverse soluzioni. Il ransomware, in quanto forma di malware, presenta sfide pratiche e intellettuali uniche, e la gamma di soluzioni riflette questo aspetto. Molte di esse mirano a una o più caratteristiche comportamentali distinte del ransomware: numerazione dei file system, accesso e cifratura dei file e generazione di richieste di riscatto. Altre sono più generiche e applicano le comuni tecniche anti-malware al ransomware.
In questo articolo viene fornita una breve panoramica di alcune di queste tecniche e dei loro vantaggi e svantaggi, prima di dare uno sguardo approfondito contributo di Sophos sul campo: CryptoGuard.
Una premessa: un attacco ransomware si articola in più fasi e la maggior parte di queste si verifica prima che entrino in gioco le soluzioni di cui si parla in questo articolo. Un’azienda ben difesa dispone di più livelli di protezione che dovrebbero bloccare gli attacchi in vari punti, il che significa che in molti casi non dovrebbero essere necessarie soluzioni anti-ransomware specifiche. Ma quando tutto il resto fallisce e un avversario determinato raggiunge la fase di cifratura, abbiamo bisogno di una tecnologia per prevenire danni irreparabili. Le altre fasi di un attacco – infezione iniziale, persistenza, movimento laterale e così via – sono reversibili, ma la cifratura no.
Per saperne di più leggi l’articolo completo qui.