Più di un decennio dopo la sua prima apparizione, possiamo affermare che il mondo è più vicino a fermare il ransomware?
A giudicare dal crescente numero di grandi organizzazioni che sono cadute vittima di quella che è diventata l’arma preferita da così tanti criminali, ci sentiamo di dire di no.
Il problema per i difensori, come documentato nel nuovo rapporto dei SophosLabs “How Ransomware Attacks”, è che sebbene quasi tutti i ransomware utilizzino lo stesso trucco – crittografare file o interi dischi ed estorcere un riscatto per la loro restituzione – il modo in cui elude le difese per raggiungere i dati continua a evolversi .
Ciò significa che una tecnica di analisi statica che ha bloccato ad oggi una varietà di ransomware potrebbe non arrestare una controparte evoluta nel giro di poche settimane. Questo rappresenta una grande sfida sia per le aziende che per le società di sicurezza.
Come ci ricorda il crescente numero di attacchi ransomware di alto profilo, esso è cresciuto proprio come un’azienda perché funziona per chi lo usa, il che significa che batte le difese delle vittime abbastanza spesso da offrire un flusso di entrate significativo.
Il rapporto tratta nel dettaglio il funzionamento dei più importanti esempi di ransomware degli ultimi tempi, tra cui Ryuk, BitPaymer, MegaCortex, Dharma, SamSam, GandCrab, Matrix, WannaCry, LockerGoga, RobbinHood e Sodinokibi.
La conoscenza è difesa
I difensori possono, tuttavia, armarsi di conoscenza. Nel loro rapporto, i SophosLabs si occupano delle tecniche più comuni utilizzate dal ransomware, a partire dai suoi meccanismi di distribuzione.
Il primo tipo sono i criptoworm che si prefiggono di infettare il maggior numero possibile di macchine, il più rapidamente possibile, utilizzando vulnerabilità note e talvolta sconosciute per aumentarne l’efficacia.
Sebbene relativamente rara, la replica simile a un worm attira molta attenzione su sé stessa. Quando i criptoworms funzionano, sono inclini a essere spettacolari, ad esempio l’attacco globale WannaCry che è avvenuto nel 2017.
Una tecnica più mirata è “l’avversario attivo automatizzato”, una tecnica manuale in cui i criminali informatici cercano attivamente organizzazioni vulnerabili scansionando i punti deboli della configurazione di rete come il Remote Desktop Protocol (RDP) o le vulnerabilità del software. Una volta dietro i firewall, il ransomware viene installato sul maggior numero possibile di server, bloccando i difensori fuori dai propri sistemi.
Il più comune di tutti è il ransomware-as-a-service (RaaS), che essenzialmente consente a criminali informatici inesperti di creare campagne automatizzate utilizzando kit di terze parti venduti sul dark web. Un buon esempio di questo è Sodinokibi (aka Sodin o REvil), una modifica di GandCrab accusato di numerosi attacchi nel 2019.
Una volta che hanno un punto d’appoggio, gli aggressori usano una tavolozza di strumenti simile per aggirare le difese rimaste, compresa l’implementazione di certificati digitali legittimi rubati appositamente per rendere il loro malware affidabile.
Naturalmente, per raggiungere server e condivisioni importanti, viene utilizzato il movimento laterale così come l’escalation dei privilegi per ottenere il potere di elevare un attacco allo stato di amministratore necessario per fare più danni.
Un tema ricorrente in attacchi di successo è rappresentato da un attento tempismo, afferma Mark Loman, Director of Threat Mitigation dei SophosLabs, autore del rapporto:
In alcuni casi, il grosso dell’attacco si svolge di notte quando il team IT è a casa nel suo letto.
Sembra terribilmente ovvio, ma succede sempre così. Attaccare di notte è uno dei modi più semplici per guadagnare più tempo per il ransomware (che richiede ore per eseguire tutta la sua crittografia) senza alcuno sforzo aggiuntivo.
Fermare il ransomware
Il consiglio di Loman è un’attenta vigilanza, a partire dal garantire che le macchine vengano sempre aggiornate contro le principali vulnerabilità come EternalBlue, che continua a infastidire due anni e mezzo dopo aver alimentato WannaCry.
Sembra abbastanza semplice: basta applicare le patch. Ma questo deve essere fatto su tutti i sistemi vulnerabili perché il ransomware necessita anche solo di una macchina debole per ottenere un punto d’appoggio.
Ciò richiede che i difensori controllino anche lo stato del software di tutti i sistemi, cosa che non tutti gli amministratori si preoccupano di fare. Infatti individuare i punti deboli prima degli attacchi è una misura necessaria.
In secondo luogo il consiglio è quello di abilitare l’autenticazione a più fattori ovunque sia possibile. Questo è un ulteriore livello affidabile di sicurezza che gli aggressori dovrebbero trovare difficoltà a superare, se è stato configurato correttamente.
Come minimo, bisogna non solo mantenere i backup, ma pensare a come verranno ripristinati. Spesso, le vittime hanno backup ma non le risorse umane, il tempo o il denaro per non dover passare giorni o settimane a rimettere le cose come erano.
Esistono anche alcuni controlli integrati nei sistemi operativi come Windows 10, ad esempio l’accesso controllato alle cartelle (CFA) introdotto nel 2017 per limitare le applicazioni che possono accedere a determinate cartelle di dati. Da allora molti ricercatori ci hanno trovato vulnerabilità, quindi non è infallibile, ma vale comunque la pena usarlo sugli endpoint.
Per ulteriori consigli, leggete “How Ransomware Attacks” e controllate la pagina “La fine del ransomware” di Sophos.
Lascia un commento