Sembra che ogni giorno ci sia una nuova variante o vittima di ransomware nelle notizie. È una notizia degna di nota perché funziona molto bene e provoca distruzione su larga scala.
Quindi, quando è arrivata la recente ondata di notizie su PetrWrap, una variante del noto ransomware Petya, è stato facile non coglierne l'importanza. La narrativa del "non c'è onore tra i ladri" ha oscurato la sua vera importanza.
Ormai diventato un grande business, si stima che il ransomware abbia fruttato oltre 1 miliardo di dollari nel 2016. L'innovazione del modello di business ha guidato la crescita, compresa un'attenzioneparticolare agli ospedali, con dati critici sui pazienti e dipendenza dall'IT, come obiettivi di massimo valore.
Sebbene le campagne di diffusione fossero mirate, fino ad ora gli attacchi ransomware avevano essenzialmente lo stesso comportamento:
- Erano automatizzati e opportunistici.
- Sono stati diffusi tramite phishing o metodi di distribuzione di exploit kit e si sono diffusi rapidamente.
- Crittografavano indiscriminatamente, sia i dati che i record di avvio. A volte venivano crittografati dati importanti, altre volte dati inutili.
Ma la vera novità è che PetrWrap non è automatizzato. Il ransomware ha storicamente avuto successo su larga scala in campagne di attacchi opportunistici senza richiedere che l'autore dell'attacco fosse altamente qualificato.
PetrWrap viene invece utilizzato in campagne di attacchi mirati e gestito da attori esperti. Immaginate che degli hacker esperti si muovano furtivamente nella vostra rete e individuino solo le risorse più critiche, ovvero sistemi e dati, da tenere in ostaggio. Quanto sareste disposti a pagare per evitare un tale livello di interruzione della vostra attività?
Ed è per questo che PetrWrap è importante. Lo strumento principale utilizzato per tenere in ostaggio sistemi e dati è lo stesso. Ma l'applicazione e il modello di business sono completamente diversi.
PetrWrap è un segnale che attori più avanzati stanno entrando nel gioco delle estorsioni, preannunciando un'altra pericolosa innovazione nel modello di business del ransomware. Non si tratta più solo del furto dei vostri segreti commerciali e dei dati critici dei clienti. È un colpo devastante alla vostra capacità di gestire l'infrastruttura IT e il business.
A meno che non riusciamo a capire come impedire al 100% agli aggressori di entrare, dobbiamo migliorare notevolmente la nostra capacità di rilevare i loro comportamenti all'interno della rete prima che causino danni.
Ogni azienda dovrebbe adottare una strategia per mitigare i rischi legati al ransomware, che includa l'uso di file falsi come "canarini nella miniera" e backup efficaci. Oggi è ancora più importante disporre di una soluzione di sicurezza in grado di individuare gli aggressori nascosti mentre cercano le risorse chiave dell'azienda, ben prima che questa venga presa in ostaggio.
Vectra rileva i comportamenti degli attacchi ransomware all'interno della rete e fornisce ai team di sicurezza diverse opportunità di allerta precoce, mettendo in luce azioni dannose, tra cui il traffico di comando e controllo, la scansione della rete e la diffusione di malwareaggiuntivo, che precedono la crittografia dei dati aziendali e dei record di avvio.
Per ulteriori informazioni, consulta questo white paper per capire come la tua organizzazione può sviluppare una strategia efficace per gestire gli attacchi ransomware.