Sembra che una nuova variante o vittima di ransomware faccia notizia ogni giorno. Fa notizia perché funziona molto bene e provoca una distruzione diffusa.
Così, quando la recente ondata di notizie ha riguardato PetrWrap, una variante del noto ceppo di ransomware Petya, è stato facile non coglierne l'importanza. La narrazione "senza onore per i ladri" ha fatto passare in secondo piano la sua vera importanza.
Il ransomware è ormai un grande business e si stima che nel 2016 abbia incassato più di 1 miliardo di dollari. L'innovazione del modello di business ha guidato la crescita, compresa l'attenzione agli ospedali - con idati critici dei pazienti e la dipendenza dall'IT - come obiettivi di maggior valore.
Sebbene le campagne di consegna fossero mirate, finora gli attacchi ransomware avevano essenzialmente lo stesso comportamento:
- Erano automatizzati e opportunistici.
- Sono stati consegnati tramite campagne phishing o metodi di distribuzione di exploit-kit e si sono diffusi rapidamente.
- Crittografavano indiscriminatamente, sia i dati che i record di avvio. A volte venivano criptati dati importanti, altre volte dati inutili.
Ma la vera notizia è che PetrWrap non è automatizzato. Storicamente, i ransomware hanno avuto successo su larga scala in campagne di attacco opportunistiche, senza che gli aggressori debbano essere altamente qualificati.
PetrWrap viene invece utilizzato in campagne di attacco mirate e gestito da attori esperti. Immaginate che gli aggressori avanzati si muovano furtivamente attraverso la vostra rete e trovino solo gli asset più critici - sistemi e dati - da tenere in ostaggio. Quanto paghereste per evitare questo livello di interruzione della vostra attività?
Ed è per questo che PetrWrap è importante. Lo strumento principale per tenere in ostaggio sistemi e dati è lo stesso. Ma l'applicazione e il modello di business sono completamente diversi.
PetrWrap è un'indicazione del fatto che attori più avanzati stanno entrando nel gioco dell'estorsione, facendo presagire un'altra pericolosa innovazione nel modello di business del ransomware. Non si tratta più solo del furto di segreti commerciali e di dati critici dei clienti. Si tratta di un attacco paralizzante alla vostra capacità di gestire l'infrastruttura IT e l'azienda.
Se non riusciamo a capire come impedire al 100% degli aggressori di entrare, dobbiamo migliorare molto nel rilevare i loro comportamenti interni alla rete prima che facciano danni.
Ogni azienda dovrebbe avere una strategia per mitigare i rischi del ransomware, che comprenda azioni false e backup efficaci. Oggi è ancora più importante disporre di una soluzione di sicurezza in grado di individuare gli aggressori nascosti mentre sono alla ricerca delle risorse chiave, ben prima che vengano prese in ostaggio.
Vectra rileva i comportamenti degli attacchi ransomware all'interno della rete e fornisce ai team di sicurezza molteplici opportunità di allerta precoce esponendo le azioni nefaste, tra cui il traffico di comando e controllo, la scansione della rete e la diffusione di ulteriore malwareprecedono la crittografia dei dati aziendali e dei record di avvio.
Per saperne di più, consultate questo white paper per capire come la vostra organizzazione può costruire una strategia efficace per gestire gli attacchi ransomware.