Non è passato molto tempo da quando il ransomware era principalmente una minaccia non mirata, opportunistica e in rapida diffusione. Nel 2017, WannaCry e worm sua worm di rete Server Message Block (SMB), EternalBlue, hanno causato una delle più significative epidemie di ransomware della storia. Si è diffuso a livello globale alla velocità della luce, infettando oltre 230.000 host in più di 150 paesi. Sebbene i danni causati da WannaCry siano stati gravi, soprattutto per organizzazioni come il Servizio Sanitario Nazionale (NHS) del Regno Unito, che ha sostenuto costi per oltre 73 milioni di sterline (95 milioni di dollari), gli autori dell'attacco sono riusciti a intascare solo circa 621.000 dollari in Bitcoin, un guadagno relativamente modesto rispetto ai danni causati.
Da allora, il ransomware si è evoluto da un approccio indiscriminato e ad alto volume, spesso definito "spray and pray", a un modello di business più mirato e a volume ridotto. Gli attacchi ransomware odierni non si basano più su un unico malware monolitico. Al contrario, il ransomware moderno tende ad essere modulare, sviluppato da criminali esperti o venduto tramite piattaforme Ransomware-as-a-Service (RaaS). Questo cambiamento ha consentito ai gruppi ransomware di operare all'interno di un ecosistema oscuro e organizzato, completo di catene di fornitura sia per i componenti che per i servizi, simile alle strutture aziendali legittime.
La capacità di adattarsi e trasformarsi rapidamente ha reso sempre più inefficaci i metodi di rilevamento tradizionali basati su firme statiche. Di conseguenza, i team di sicurezza devono concentrarsi sull'identificazione dei comportamenti e delle tattiche utilizzati dagli aggressori prima che inizi la crittografia. Ciò è particolarmente importante poiché i gruppi di ransomware odierni, come LockBit e Conti, utilizzano tattiche di doppia estorsione, in cui non solo crittografano i dati, ma li sottraggono anche, minacciando di divulgare informazioni sensibili se il riscatto non viene pagato.
La natura complessa e prolungata dei moderni attacchi ransomware
A differenza degli attacchi precedenti, le campagne ransomware odierne, esemplificate da gruppi come Maze, sono multiforme e si svolgono su periodi prolungati. Gli aggressori conducono la penetrazione iniziale, la ricognizione e l'esfiltrazione dei dati molto prima che inizi qualsiasi crittografia. Questo lasso di tempo prolungato offre ai difensori l'opportunità di rilevare e rispondere alla minaccia, se sanno dove e come cercare.
Caratteristiche di un attacco ransomware
Selezione degli obiettivi e ricognizione
Gli aggressori iniziano in genere conducendo attività di intelligence open source (OSINT) per raccogliere informazioni sulle potenziali vittime. Valutano la capacità del bersaglio di continuare le operazioni senza dati critici e la probabilità che paghi un riscatto. Gli aggressori calcolano un importo del riscatto che corrisponda alla "soglia del dolore" percepita dalla vittima, ovvero il prezzo che preferirebbe pagare piuttosto che affrontare le conseguenze del mancato pagamento.
Accesso iniziale
Il compromesso iniziale avviene spesso attraverso phishing , sfruttando vulnerabilità note o tramite Initial Access Brokers (IAB). Questi broker sono specializzati nella vendita di accessi a reti compromesse sui mercati del dark web a partire da soli 300 dollari.
Ricognizione interna e aumento dei privilegi
Una volta entrati nella rete, gli aggressori dedicano del tempo all'identificazione dei sistemi critici e all'acquisizione di privilegi più elevati. Questa fase può durare giorni o addirittura settimane, poiché gli aggressori cercano file da sottrarre e sfruttare per una doppia estorsione. Solo una volta completata questa ricognizione interna, gli aggressori lanciano il ransomware, crittografando i file presenti nella rete.
Doppia estorsione
In molti casi, gli aggressori non solo crittografano i dati della vittima, ma rubano anche informazioni sensibili. Se la vittima si rifiuta di pagare il riscatto, gli aggressori minacciano di divulgare o vendere online i dati rubati, il che può comportare sanzioni normative, danni alla reputazione e ulteriori perdite finanziarie.
Richieste di riscatto e negoziazione
I gruppi di ransomware forniscono note di riscatto dettagliate, spesso indirizzando le vittime verso portali di negoziazione dedicati ospitati sul dark web. In alcuni casi, i gruppi di ransomware offrono persino assistenza clienti per garantire che le vittime possano effettuare i pagamenti in modo efficiente.
I costi crescenti del ransomware
Quando le organizzazioni sono colpite da un attacco ransomware, si trovano ad affrontare un'immediata paralisi operativa. I sistemi critici per l'azienda vengono presi in ostaggio e i team di risposta agli incidenti devono affrettarsi a fermare la diffusione dell'attacco e ripristinare i sistemi. Anche se l'organizzazione è disposta a pagare il riscatto, non vi è alcuna garanzia che gli aggressori forniranno una chiave di decrittazione valida. I file che non possono essere decrittati dovranno essere ripristinati dai backup, con conseguente potenziale perdita di dati dall'ultimo backup e tempi di inattività prolungati.
L'impatto del ransomware è cresciuto in termini di portata e costi. Gli attacchi odierni non riguardano solo la crittografia dei file, ma comportano anche furti di dati, interruzioni operative, danni alla reputazione e sanzioni normative. Secondo un rapporto del 2023 di Coveware, il riscatto medio richiesto ha raggiunto i 408.644 dollari, evidenziando il crescente onere finanziario che il ransomware impone alle organizzazioni.
Mitigare e rispondere agli attacchi ransomware
Una mitigazione efficace richiede la comprensione dei modelli di attacco ransomware e la capacità di agire rapidamente durante il ciclo di vita dell'attacco. Il rilevamento e la risposta tempestivi possono ridurre significativamente l'impatto di un attacco ransomware.
Isolamento rapido dell'host
Una volta identificato un host infetto, è fondamentale procedere immediatamente all'isolamento. Ciò può essere ottenuto mettendo in quarantena i sistemi compromessi, rimuovendoli dalla rete e interrompendo qualsiasi processo coinvolto nella propagazione del ransomware. In molti casi, è possibile utilizzare strumenti di automazione, come le piattaforme di orchestrazione, per isolare i sistemi in modo rapido ed efficiente.
Monitoraggio degli accessi privilegiati
Il ransomware può essere eseguito solo con i privilegi dell'utente o dell'applicazione compromessi. Il monitoraggio degli account che hanno accesso ai sistemi critici consente ai team di sicurezza di rilevare tempestivamente comportamenti anomali e impedire al ransomware di crittografare i file. Una conoscenza approfondita degli accessi privilegiati può aiutare a impedire agli aggressori di muoversi lateralmente all'interno della rete e di aumentare i propri privilegi.
Rilevamento basato sul comportamento
I moderni attacchi ransomware comportano diverse attività preliminari, quali ricognizione interna, movimento laterale ed esfiltrazione dei dati. Anziché concentrarsi esclusivamente sull'identificazione di specifiche varianti di ransomware, i team di sicurezza dovrebbero monitorare i comportamenti immutabili degli aggressori nel traffico di rete. Questo approccio di rilevamento basato sul comportamento è più proattivo e consente ai team di rilevare le fasi iniziali di un attacco prima che inizi la crittografia.
Intelligenza artificiale (AI) e automazione
Progressi nelle soluzioni di sicurezza basate sull'intelligenza artificiale stanno trasformando il rilevamento e la risposta al ransomware. L'intelligenza artificiale è in grado di analizzare enormi quantità di dati di rete per individuare indicatori sottili di comportamenti ransomware che gli esseri umani o gli strumenti tradizionali potrebbero non rilevare. Potenziando i team SOC con l'intelligenza artificiale, le organizzazioni possono rilevare e bloccare gli attacchi più rapidamente, limitando l'entità dei danni.
Rimani proattivo contro la minaccia del ransomware
Per ridurre l'impatto dei moderni attacchi ransomware, i team di sicurezza devono passare da strategie reattive al rilevamento comportamentale. Questo approccio proattivo si concentra sull'identificazione delle attività sospette nelle prime fasi del ciclo di vita dell'attacco. Grazie all'intelligenza artificiale che potenzia gli strumenti di sicurezza tradizionali, le organizzazioni possono rilevare i comportamenti ransomware in tempo reale, ottenendo un vantaggio cruciale nella prevenzione degli attacchi prima che si verifichino danni diffusi.
Il ransomware continuerà a essere uno strumento potente per i criminali informatici che cercano di sfruttare ed estorcere alle organizzazioni le loro preziose risorse digitali. Il tempo e la comprensione del contesto sono essenziali per sconfiggere il ransomware: agire tempestivamente può prevenire un disastro totale.
Come Vectra AI aiutarti
La Vectra AI utilizza l'analisi comportamentale basata sull'intelligenza artificiale per rilevare i comportamenti degli aggressori nelle prime fasi del ciclo di vita del ransomware. Concentrandosi sulle attività di ricognizione, movimento laterale e crittografia, Vectra consente ai team di sicurezza di bloccare il ransomware prima che causi danni catastrofici. Vuoi scoprire come Vectra AI aiutarti a proteggere la tua organizzazione? Richiedi una demo autoguidata ed esplora la potenza dell'intelligenza artificiale nella difesa dal ransomware.