Che cosa è appena successo?
Un attacco ransomware si sta diffondendo molto rapidamente tra i sistemi Windows non aggiornati in tutto il mondo. Questa mattina, inizialmente si pensava che l'attacco fosse rivolto al Servizio Sanitario Nazionale del Regno Unito, ma nel corso della giornata è diventato evidente che si tratta di un attacco globale.
Kaspersky Labs ha riferito venerdì pomeriggio che almeno 45.000 host in 74 paesi sono stati infettati. Avast ha stimato 57.000 infezioni in 99 paesi. Tutto questo in sole 10 ore. Tra gli host infettati, Russia, Ucraina e Taiwan sono stati i principali obiettivi.
Un rapporto ha identificato un portafoglio bitcoin utilizzato dal ransomware per raccogliere transazioni in entrata comprese tra 0,15 e 0,3 BTC, per un valore attuale compreso tra 250 e 500 dollari. Ciò significa che le persone stanno pagando per sbloccare i file crittografati nell'ambito dell'attacco. L'importo è interessante in quanto è sufficientemente basso da indurre una persona a pagare nella speranza di ripristinare i propri dati, consentendo all'autore dell'attacco di ottenere un guadagno sostanziale grazie al gran numero di computer infettati. Si tratta di un attacco ransomware basato sull'economia di scala.
Come è possibile un attacco così massiccio?
Shadow Brokers ha diffuso una potente serie di strumenti che consentono a chiunque sia in grado di scaricare un file di compiere numerose attività di hacking. Il tesoro di Shadow Brokers includeva binari compilati per exploit che prendevano di mira le vulnerabilità di una lunga serie di sistemi operativi Windows, tra cui Windows 8 e Windows 2012. Si tratta di strumenti di hacking che, secondo quanto affermato, sarebbero stati utilizzati in passato dalla NSA.
Una delle vulnerabilità di Windows nella cache è denominata EternalBlue. Sfrutta un bug di esecuzione di codice remoto in Windows 7 e 2008 utilizzando i protocolli SMB (Server Message Block) e NetBT. La vulnerabilità sfruttata consente l'esecuzione di codice remoto se un aggressore invia messaggi appositamente creati a un server Microsoft Server Message Block 1.0 (SMBv1). Esaminando il codice del ransomware si notano indicatori che rivelano l'utilizzo di questo exploit EternalBlue.
Come entra?
Potrebbe utilizzare un phishing , un attacco watering hole, oppure potrebbe trattarsi di un computer già infetto che fa parte di una botnet acquistata dall'autore dell'attacco per diffondere il ransomware all'interno dell'organizzazione. È sufficiente infettare il computer di una sola persona in una rete tramite un phishing e poi, utilizzando l'exploit su cui si basa, propagarsi attraverso la rete ad altri computer Windows.
Pertanto, un utente non sarebbe sempre in grado di proteggersi semplicemente prestando attenzione a non aprire phishing proveniente da una fonte sconosciuta o un documento sospetto.
Si sta diffondendo molto rapidamente e su vasta scala.
Data la velocità e la portata degli attacchi, sembra probabile che entri attraverso un unico computer e si diffonda lateralmente all'interno utilizzando una qualche forma di riproduzione di scansioni/exploit. Un ransomware di questo tipo non richiede segnali di comando e controllo esterni, quindi le tradizionali difese perimetrali sono inutili perché cercano un callback del ransomware per rilevare e prevenire la diffusione di un attacco ransomware.
Ottenere un singolo host infetto all'interno di mille reti non è difficile per una vulnerabilità non corretta. Si tratta di una corsa agli armamenti tra l'autore dell'attacco che sfrutta le vulnerabilità di Windows divulgate da Shadow Brokers e le organizzazioni che devono ancora implementare la patch rilasciata da Microsoft.
Contrattacca
Il software non supportato è un problema ricorrente che evidenzia i limiti degli aggiornamenti software e delle patch come linea di difesa primaria. Microsoft ha fornito una patch per questa vulnerabilità, ma ciò non significa che sia stata implementata su tutti i computer Windows. Il primo passo di qualsiasi difesa è una strategia di patch attiva incentrata sulle vulnerabilità note e sfruttabili. Ciò avrebbe chiuso la porta alle vulnerabilità di Windows esposte dal dump di Shadow Brokers.
Nel caso in cui la vulnerabilità sia sconosciuta o non ci sia stato tempo sufficiente per applicare la patch, le organizzazioni hanno bisogno di un metodo per il rilevamento e la risposta rapidi. Ciò dovrebbe includere il monitoraggio del traffico interno alla ricerca di comportamenti tipici degli aggressori, come ricognizione, movimento laterale e crittografia dei file, piuttosto che tentare di rilevare specifiche varianti di ransomware nei flussi di rete o nei file eseguibili.
Per prevenire attacchi futuri, dobbiamo passare a un modello di rilevamento dei comportamenti piuttosto che a uno di rilevamento di strumenti o malware specifici. Il rilevamento dei comportamenti è molto più efficace, ma richiede un'analisi approfondita del traffico di rete. Tuttavia, grazie ai progressi dell'intelligenza artificiale che potenziano i team di sicurezza, stiamo assistendo a un cambiamento nel settore verso l'identificazione dei comportamenti degli aggressori in tempo reale.
Per ulteriori informazioni su come contrastare il ransomware, scarica questo rapporto.