Le aziende continuano a essere colpite dal ransomware e, in risposta, spendono più denaro, risorse, energia e tempo per difendersi dal volume e dalla complessità degli attacchi ransomware. Negli ultimi mesi, gli operatori di ransomware si sono rapidamente evoluti e sono andati oltre il oltre semplicemente crittografia file e dati. Storicamente, le organizzazioni hanno eseguito il backup dei dati per riprendersi dagli attacchi ransomware che hanno causato ampie interruzioni dell'attività crittografando file e dati. Purtroppo il backup dei dati non è più sufficiente alle organizzazioni per riprendersi dall'intera portata dei danni inflitti dagli aggressori di ransomware e il più delle volte i danni sono irreversibili.
Gli attori delle minacce si stanno progressivamente impegnando in attacchi avanzati e persistenti per aumentare i guadagni monetari derivanti da un'intrusione, da un hack o da una violazione e utilizzano il ransomware per condurre attacchi che vanno oltre la crittografia dei file. Oltre a criptare i file, gli aggressori effettuano ricognizioni per trovare un'ampia gamma di informazioni aziendali sensibili muovendosi attraverso la rete di un'organizzazione. Un recente rapporto di Mandiant ha rilevato che gli aggressori sono alla ricerca di dati sensibili, tra cui accordi di risoluzione, contratti, cartelle cliniche e certificati di crittografia. Prima di criptare i dati, gli aggressori li esfiltravano utilizzando canali criptati per eludere le difese perimetrali, difficili da gestire e mantenere.
Queste violazioni di dati danno più potere, controllo e leva agli attori della minaccia ed espongono un'organizzazione a rischi immensi e danni irreparabili. Le aziende rischiano di perdere la fiducia dei consumatori, la reputazione del marchio e il morale dei dipendenti e sono passibili di danni legali e punitivi e di azioni legali collettive. Gli attacchi ransomware aumentano inoltre i costi operativi e normativi e rallentano drasticamente l'agilità e la competitività delle aziende, che sono spinte dall'adozione di tecnologie digitali nuove e innovative.
Gli aggressori utilizzano i dati rubati in modo perverso e si servono di siti di fuga di dati sul dark web utilizzando le reti TOR o siti di social media come Facebook per nominare e infamare le loro vittime. Per portare avanti il loro attacco, gli operatori di ransomware forniscono campioni di dati rubati di clienti o aziende a media affidabili e a pubblicazioni di tecnologia e sicurezza informatica per ottenere un'attenzione diffusa e aumentare le loro richieste.
La probabilità di prevenire le fughe di dati violati è quasi impossibile e il danno, quasi sempre, è irreversibile. CrowdStrike avverte dell'evoluzione delle tattiche che prevedono che gli attori delle minacce ospitino i dati rubati da altri attori delle minacce, il che renderebbe estremamente difficile per le vittime mediare qualsiasi accordo vincolante per recuperare o impedire la diffusione dei dati rubati.
In alcuni casi, gli aggressori creano set di dati di informazioni di identificazione personale (PII) ricercabili, estratti dal materiale rubato, e aggravano la situazione rilasciando dati a cadenza regolare, rinnovando l'attenzione e la copertura dei media. Gli aggressori perseguono i dipendenti interni chiamandoli e molestandoli e fanno pressione sulle organizzazioni affinché rivelino i dettagli di una violazione notificando i partner commerciali. Questi espedienti coercitivi hanno un impatto sull'umore dei dipendenti e generano sfiducia nei rapporti commerciali.
È quindi possibile prevenire i danni da ransomware?
Gli attori delle minacce ransomware continuano a innovare e a evolversi. Possono raccogliere una serie di informazioni sensibili ed esfiltrare i dati dopo l'intrusione iniziale, muovendosi liberamente nella rete di un'organizzazione, effettuando ricognizioni dell'ambiente per diversi mesi/giorni e utilizzando la crittografia per eludere il rilevamento. Secondo il rapporto M-TRENDS 2021 per Mandiant, l'81% delle nuove famiglie di malware tracciate non ha utilizzato strumenti e codice pubblicamente disponibili. Ciò suggerisce fortemente che le misure preventive basate sulle firme sono tristemente inadeguate e inefficaci per difendersi dagli odierni attacchi ransomware. Una volta superati gli strumenti di prevenzione, come si può fermare un attacco?
In oltre la metà delle intrusioni analizzate da Mandiant nel 2020, gli avversari hanno utilizzato l'offuscamento, come la crittografia o la codifica, per rendere più difficile il rilevamento. Gli strumenti di sicurezza tradizionali hanno una visibilità limitata e si basano su un elenco predefinito di servizi, utenti e applicazioni affidabili senza verificare continuamente se questi servizi affidabili si comportano normalmente. È importante riconoscere che gli aggressori eseguono gli attacchi in più fasi che vanno ben oltre la compromissione iniziale. Ciò include la persistenza, l'escalation dei privilegi, la ricognizione e la scoperta interna, il movimento laterale, l'accesso alle credenziali, il comando e il controllo, l'elusione delle difese, l'esfiltrazione, ecc. Gli esperti di Mandiant hanno osservato che gli aggressori utilizzano il 63% di MITRE ATT&CK tra tutte le indagini sulle minacce del 2020.
Gli strumenti di prevenzione tradizionali offrono una copertura di sicurezza limitata, durante l'accesso iniziale o la fase di esfiltrazione di un attacco, e l'operatività e la manutenzione di questi strumenti richiedono un impegno manuale continuo. Inoltre, questi strumenti sono manuali, basati su agenti e notoriamente causano interruzioni dell'attività, limitando ulteriormente la loro efficacia in termini di sicurezza.
Le organizzazioni devono affrontare la complessità della superficie di attacco digitale, la sofisticazione degli operatori di ransomware, i limiti degli strumenti di sicurezza tradizionali e la carenza cronica di professionisti della sicurezza informatica.
La piattaforma Vectra Cognito blocca il ransomware
La soluzione di cybersecurity di Vectra, basata sull'intelligenza artificiale e altamente performante, viene utilizzata dalle organizzazioni per rilevare e bloccare il ransomware prima che possa causare danni irreversibili e permanenti ad aziende e clienti.
Con Vectra, è possibile bloccare il ransomware prima che possa criptare i file ed esfiltrare i dati, in quanto la piattaforma Cognito, senza agenti e guidata dall'intelligenza artificiale, mette insieme in modo continuo e automatico i rilevamenti a bassa fedeltà dispersi nel tempo, nella rete, negli account e negli host e trasforma e consente ai team SOC di bloccare con successo gli attacchi ransomware più sofisticati.
Nel video che segue, dimostrerò come la piattaforma Cognito di Vectra monitorizzi continuamente tutte le fasi di un attacco ransomware e lo fermi prima che possa criptare i file ed esfiltrare i dati. La Piattaforma Cognito rileva automaticamente gli account e gli host a rischio, attraverso la rete aziendale e il cloud, e tiene traccia del comportamento degli aggressori che comprende comunicazioni Command & Control attraverso tunnel HTTPS crittografati, chiamate LDAP e RPC per mappare la rete, ricognizione degli account privilegiati e chiamate RPC per spostarsi lateralmente attraverso una rete piatta.
La piattaforma Vectra Cognito offre una visibilità completa su tutta la rete digitale di un'organizzazione che spazia dall'on-prem al cloud, dall'ibrido al cloud, dall'ufficio al lavoratore remoto, dall'IaaS al SaaS e dall'IoT all'OT e monitora in modo continuo e automatico la presenza di minacce, ransomware e aggressori in più fasi del ciclo di vita di un attacco. Vectra Cognito è una soluzione agentless che si avvale di un'intelligenza artificiale leader del settore, sempre attiva e intelligente, in grado di rilevare e bloccare il volume e la sofisticazione degli odierni attacchi ransomware.
Scoprite come potete fermare il ransomware oggi stesso!