Che cosa è successo?
Un attacco ransomware si sta diffondendo molto rapidamente tra i sistemi Windows senza patch in tutto il mondo. Questa mattina si pensava che l'attacco fosse inizialmente rivolto al Servizio Sanitario Nazionale del Regno Unito, ma nel corso della giornata è emerso che si tratta di un attacco globale.
Venerdì pomeriggio i laboratori Kaspersky hanno comunicato che sono stati infettati almeno 45.000 host in 74 Paesi. Avast ha stimato un totale di 57.000 infezioni in 99 Paesi. Tutto questo in sole 10 ore. Tra gli host infettati, Russia, Ucraina e Taiwan sono stati i principali obiettivi.
Un rapporto ha identificato un portafoglio bitcoin utilizzato dal ransomware per raccogliere transazioni in entrata tra 0,15 e 0,3 BTC, per un valore di circa 250-500 dollari oggi. Ciò significa che le persone stanno pagando per sbloccare i file crittografati nell'ambito dell'attacco. L'importo è un valore interessante perché è abbastanza basso da invogliare una persona a pagare nella speranza di ripristinare i propri dati, consentendo all'aggressore di ottenere un guadagno sostanziale grazie all'elevato numero di computer infetti. Si tratta di un attacco ransomware su scala economica.
Come è possibile un attacco così massiccio?
Shadow Brokers ha reso disponibile al mondo un potente set di strumenti che consente a chiunque sia in grado di scaricare un file di effettuare numerose operazioni di hacking. Il contenuto del tesoro degli Shadow Brokers comprendeva binari compilati per exploit che miravano alle vulnerabilità di una lunga serie di sistemi operativi Windows, tra cui Windows 8 e Windows 2012. Si tratta di strumenti di hacking utilizzati in passato dall'NSA.
Una delle vulnerabilità di Windows presenti nella cache è denominata EternalBlue. Sfrutta un bug di esecuzione di codice in remoto in Windows 7 e 2008 utilizzando i protocolli Server Message Block (SMB) e NetBT. La vulnerabilità sfruttata consente l'esecuzione di codice remoto se un aggressore invia messaggi appositamente creati a un server Microsoft Server Message Block 1.0 (SMBv1). L'esame del codice del ransomware mostra indicatori che utilizzano l'exploit EternalBlue EternalBlue.
Come fa a entrare?
Potrebbe utilizzare un attacco phishing , un attacco watering hole o potrebbe essere un computer già infetto che fa parte di una botnet acquistata dall'aggressore per diffondere il ransomware all'interno dell'organizzazione. È sufficiente infettare il computer di una persona in una rete tramite un attacco phishing e poi, utilizzando l'exploit su cui si basa, propagarsi attraverso la rete ad altri computer Windows.
Quindi, un utente non sarebbe sempre in grado di proteggersi semplicemente facendo attenzione a non aprire un'e-mail phishing proveniente da una fonte sconosciuta o ad aprire un documento sospetto.
Si sta diffondendo molto velocemente e in modo molto ampio
Data la velocità e l'entità degli attacchi, sembra probabile che il ransomware entri da un computer e si diffonda lateralmente all'interno utilizzando una qualche forma di scansione/exploit playback. Un ransomware di questo tipo non richiede una segnalazione esterna di comando e controllo, quindi le difese perimetrali tradizionali sono inutili perché cercano un call-back del ransomware per rilevare e prevenire la diffusione di un attacco ransomware.
Non è difficile ottenere un singolo host infetto all'interno di un migliaio di reti per una vulnerabilità non patchata. Questa è la corsa agli armamenti tra gli aggressori che sfruttano le vulnerabilità di Windows scaricate dagli Shadow Broker e le organizzazioni che devono ancora implementare la patch rilasciata da Microsoft.
Contrattacco
Il software non supportato è un problema continuo che evidenzia i limiti degli aggiornamenti software e delle patch come linea di difesa primaria. Microsoft ha fornito una patch per questa vulnerabilità che è disponibile, ma non significa che sia stata implementata su tutti i computer Windows. Il primo passo di ogni difesa è una strategia di patch attiva intorno alle vulnerabilità sfruttabili note. Questo avrebbe chiuso la porta alle vulnerabilità di Windows esposte dal dump di Shadow Brokers.
Nel caso in cui la vulnerabilità sia sconosciuta o non ci sia stato tempo sufficiente per applicare una patch, le organizzazioni hanno bisogno di un metodo per il rilevamento e la risposta rapidi. Questo dovrebbe includere il monitoraggio del traffico interno per individuare i comportamenti degli aggressori, come la ricognizione, il movimento laterale e la crittografia dei file, piuttosto che cercare di rilevare varianti specifiche di ransomware nei flussi di rete o negli eseguibili.
Per prevenire gli attacchi futuri, dobbiamo passare a un modello di rilevamento del comportamento piuttosto che del tool o del malware specifico. Il rilevamento del comportamento è molto più efficace, ma richiede un'analisi approfondita del traffico di rete. Tuttavia, grazie ai progressi dell'intelligenza artificiale, che aumentano i team di sicurezza, stiamo assistendo a uno spostamento del settore verso l'identificazione del comportamento degli aggressori in tempo reale.
Per ulteriori informazioni sulla lotta al ransomware, consultate questo rapporto.