Una soluzione rapida e senza fronzoli per il ransomware in azienda
Il ransomware è chiaramente il flagello del 2016. Ogni settimana si verifica un nuovo e notevole focolaio a livello aziendale di questa insidiosa classe di malwareed estorce una gamma sempre più ampia di organizzazioni.
Per una minaccia che nella stragrande maggioranza dei casi non è mirata, sembra colpire con grande successo aziende grandi e piccole.
L'infezione malware può entrare dalla porta principale di una strategia di "difesa in profondità" fallita o dalla porta laterale di un dispositivo mobile agganciato alla rete aziendale il lunedì mattina.
Tuttavia, molti team di sicurezza e amministratori di rete si stanno affrettando a bloccare la rapida crittografia dei documenti accessibili attraverso le condivisioni di rete.
Esistono diverse nuove tecnologie a disposizione delle organizzazioni per rilevare la presenza di ransomware all'interno della rete e avvisare il personale di sicurezza di un'epidemia (questo è solo un esempio di ciò che fa il prodotto Vectra). Ma spesso è molto più difficile bloccare automaticamente un'epidemia a metà strada.
Spesso mi viene chiesto quale sia il modo "migliore" per mitigare questa minaccia (cioè come può un'organizzazione impedire al ransomware di bloccare la propria attività nel modo più economico e solido).
Il modo più rapido e "senza fronzoli" per mitigare la crittografia di rete del ransomware è in realtà piuttosto semplice e segue il principio del canarino in una miniera di carbone.
Il ransomware tenta di enumerare e criptare i file sulle condivisioni di rete all'interno dell'azienda. Un semplice metodo di protezione consiste nell'assicurarsi che ogni computer abbia un paio di condivisioni montate e monitorate.
Se un utente o un computer tenta di scrivere o eliminare un file su tali condivisioni, le credenziali di accesso dell'utente vittima vengono immediatamente sospese. Se l'organizzazione utilizza una qualche forma di controllo dell'accesso alla rete (NAC), il computer host viene disconnesso immediatamente dalla rete.
Poiché l'attuale generazione di ransomware tende a scorrere in sequenza le azioni montate in ordine alfabetico o alfabetico inverso, è probabile che sia sufficiente assicurarsi che la prima e l'ultima azione montata, ad esempio l'unità A: o D: e l'unità Z: o Y:, siano azioni canarie monitorate.
Può essere utile anche assicurarsi che le condivisioni canary abbiano un gran numero di file usa e getta, poiché il ransomware impiegherà del tempo per criptare questi file. In questo modo si ottiene un periodo di tempo in cui le informazioni sulla revoca delle credenziali e dell'accesso alla rete possono essere propagate al resto della rete.
Questa tecnica è simile a quella che ho utilizzato in passato per affrontare il malware che invia spam e gli attacchi automatici di brute-forcing delle credenziali. Aggiungendo gli account utente che compaiono come prima e ultima posizione in una directory di utenti, come Active Directory e i contatti di posta elettronica, e monitorando qualsiasi uso di questi nomi, è possibile rilevare e mitigare rapidamente e automaticamente la minaccia.
Ad esempio, se qualcuno tenta di inviare un'e-mail al nome di battesimo fittizio presente nella rubrica, il server di posta blocca automaticamente tutte le richieste di invio di e-mail da parte dell'utente fino a quando il team IT non effettua un'indagine.
L'uso di file share canary per il ransomware, come gli account canary in Active Directory e la posta elettronica, può essere un approccio di mitigazione economico ed efficace alle minacce. A volte i metodi più semplici possono essere i più efficaci.