Non è passato molto tempo da quando il ransomware era principalmente una minaccia non mirata, opportunistica e a rapida diffusione. Nel 2017, WannaCry e la sua vulnerabilità worm rete Server Message Block (SMB), EternalBluehanno causato una delle epidemie di ransomware più significative della storia. Si è diffuso a livello globale a velocità di macchina, infettando oltre 230.000 host in più di 150 Paesi. Sebbene i danni causati da WannaCry siano stati gravi, soprattutto per organizzazioni come il National Health Service (NHS) del Regno Unito, che ha sostenuto costi per oltre 73 milioni di sterline (95 milioni di dollari), gli aggressori sono riusciti a intascare solo circa 621.000 dollari in Bitcoin, un guadagno relativamente piccolo rispetto al danno causato.
Da allora, il ransomware si è evoluto da un approccio indiscriminato e ad alto volume, spesso definito "spray and pray", a un modello di business più mirato e a basso volume. Gli attacchi ransomware di oggi non si basano più su un singolo pezzo monolitico di malware. Il ransomware moderno tende invece a essere modulare, sviluppato da criminali esperti o venduto tramite piattaforme Ransomware-as-a-Service (RaaS). Questo cambiamento ha permesso ai gruppi di ransomware di operare all'interno di un ecosistema organizzato e oscuro, completo di catene di approvvigionamento sia per i componenti che per i servizi, che assomiglia a strutture commerciali legittime.
La capacità di adattarsi e modificarsi rapidamente ha reso sempre più inefficaci i metodi di rilevamento tradizionali basati su firme statiche. Di conseguenza, i team di sicurezza devono concentrarsi sull'identificazione dei comportamenti e delle tattiche utilizzate dagli aggressori prima che la crittografia abbia inizio. Ciò è particolarmente importante in quanto gli attuali gruppi di ransomware, come ad esempio LockBit e Contiimpiegano tattiche di doppia estorsione, in cui non solo criptano i dati ma li esfiltra anche, minacciando di far trapelare informazioni sensibili se non viene pagato il riscatto.
La natura complessa e prolungata degli attacchi ransomware moderni
A differenza degli attacchi precedenti, le campagne di ransomware di oggi, esemplificate da gruppi come Maze, sonosfaccettate e si sviluppano per lunghi periodi. Gli aggressori effettuano la penetrazione iniziale, la ricognizione e l'esfiltrazione dei dati molto prima che inizi la crittografia. Questo arco di tempo prolungato offre ai difensori l'opportunità di rilevare e reagire alla minaccia, se sanno dove e come guardare.
Caratteristiche di un attacco ransomware
Selezione del bersaglio e ricognizione
Gli aggressori iniziano in genere conducendo un'attività di open-source intelligence (OSINT) per raccogliere informazioni sulle potenziali vittime. Valutano la capacità dell'obiettivo di continuare a operare senza dati critici e la sua probabilità di pagare un riscatto. Gli aggressori calcolano l'importo del riscatto in base alla "soglia del dolore" percepita dalla vittima, ovvero il prezzo al quale preferirebbe pagare piuttosto che affrontare le conseguenze del mancato pagamento.
Accesso iniziale
La compromissione iniziale avviene spesso attraverso campagne phishing , sfruttando vulnerabilità note o attraverso gli Initial Access Brokers (IAB). Questi broker sono specializzati nella vendita dell'accesso alle reti compromesse sui mercati del dark web a partire da 300 dollari.
Ricognizione interna ed escalation dei privilegi
Una volta entrati in una rete, gli aggressori passano il tempo a identificare i sistemi critici e a ottenere privilegi più elevati. Questa fase può durare giorni o addirittura settimane, mentre gli aggressori cercano file da esfiltrare e sfruttare per una doppia estorsione. Solo una volta completata la ricognizione interna, gli aggressori lanciano il ransomware, criptando i file in tutta la rete.
Doppia estorsione
In molti casi, gli aggressori non solo criptano i dati della vittima, ma rubano anche informazioni sensibili. Se la vittima si rifiuta di pagare il riscatto, gli aggressori minacciano di diffondere o vendere online i dati rubati, il che può comportare sanzioni normative, danni alla reputazione e ulteriori perdite finanziarie.
Richieste di riscatto e negoziazione
I gruppi di ransomware forniscono note di riscatto dettagliate, spesso indirizzando le vittime verso portali di negoziazione dedicati ospitati sul dark web. In alcuni casi, i gruppi di ransomware offrono persino un'assistenza clienti per garantire che le vittime possano effettuare i pagamenti in modo efficiente.
I costi crescenti del ransomware
Quando le organizzazioni vengono colpite da un attacco ransomware, devono affrontare un'immediata paralisi operativa. I sistemi critici per l'azienda sono tenuti in ostaggio e i team di risposta agli incidenti devono fare i salti mortali per fermare la diffusione dell'attacco e ripristinare i sistemi. Anche se l'organizzazione è disposta a pagare il riscatto, non c'è alcuna garanzia che gli aggressori forniscano una chiave di decrittazione valida. I file che non possono essere decifrati dovranno essere ripristinati dai backup, con conseguente potenziale perdita di dati dall'ultimo backup e tempi di inattività prolungati.
L'impatto del ransomware è cresciuto in termini di dimensioni e costi. Gli attacchi odierni non si limitano a criptare i file, ma comportano il furto di dati, l'interruzione dell'operatività, il danno alla reputazione e le multe previste dalle normative. Secondo un rapporto 2023 di Covewareil pagamento medio del riscatto ha raggiunto i 408.644 dollari, evidenziando il crescente onere finanziario che il ransomware impone alle organizzazioni.
Mitigare e rispondere agli attacchi ransomware
Una mitigazione efficace richiede una comprensione dei modelli di attacco ransomware e la capacità di agire rapidamente durante il ciclo di vita dell'attacco. Il rilevamento e la risposta tempestivi possono ridurre significativamente l'impatto di un attacco ransomware.
Isolamento rapido dell'ospite
Una volta identificato un host infetto, è fondamentale l'isolamento immediato. Questo può essere ottenuto mettendo in quarantena i sistemi compromessi, rimuovendoli dalla rete e arrestando qualsiasi processo coinvolto nella propagazione del ransomware. In molti casi, gli strumenti di automazione, come le piattaforme di orchestrazione, possonoessere utilizzati per isolare i sistemi in modo rapido ed efficiente.
Monitoraggio dell'accesso privilegiato
Il ransomware può essere eseguito solo con i privilegi dell'utente o dell'applicazione compromessa. Il monitoraggio degli account che hanno accesso ai sistemi critici consente ai team di sicurezza di rilevare tempestivamente i comportamenti anomali e di impedire al ransomware di criptare i file. Una conoscenza completa degli accessi privilegiati può aiutare a evitare che gli aggressori si spostino lateralmente attraverso la rete e aumentino i loro privilegi.
Rilevamento basato sul comportamento
I moderni attacchi ransomware comportano diverse attività precursori, come la ricognizione interna, il movimento laterale e l'esfiltrazione dei dati. Piuttosto che concentrarsi esclusivamente sull'identificazione di specifiche varianti di ransomware, i team di sicurezza dovrebbero monitorare i comportamenti immutabili degli aggressori nel traffico di rete. Questo approccio di rilevamento basato sul comportamento è più proattivo e consente ai team di rilevare le fasi iniziali di un attacco prima che inizi la crittografia.
Intelligenza artificiale (AI) e automazione
I progressi delle soluzioni di sicurezza basate sull'intelligenza artificiale stanno trasformando il rilevamento e la risposta ai ransomware. L'intelligenza artificiale è in grado di analizzare enormi quantità di dati di rete per individuare sottili indicatori di comportamenti ransomware che gli esseri umani o gli strumenti tradizionali potrebbero non notare. Aumentando i team SOC con l'AI, le organizzazioni possono rilevare e bloccare gli attacchi più rapidamente, limitando la portata dei danni.
Rimanere proattivi contro la minaccia del ransomware
Per ridurre l'impatto dei moderni attacchi ransomware, i team di sicurezza devono passare da strategie reattive al rilevamento comportamentale. Questo approccio proattivo si concentra sull'identificazione di attività sospette nelle prime fasi del ciclo di vita dell'attacco. Grazie all'intelligenza artificiale che integra gli strumenti di sicurezza tradizionali, le organizzazioni possono rilevare i comportamenti dei ransomware in tempo reale, ottenendo un vantaggio cruciale nella prevenzione degli attacchi prima che si verifichino danni diffusi.
Il ransomware continuerà a essere uno strumento potente per i criminali informatici che cercano di sfruttare ed estorcere alle organizzazioni i loro preziosi beni digitali. Il tempo e la comprensione del contesto sono essenziali per sconfiggere il ransomware: agire per tempo può evitare un disastro completo.
Come può aiutare Vectra AI
La PiattaformaVectra AI utilizza l'analisi comportamentale guidata dall'intelligenza artificiale per rilevare i comportamenti degli aggressori nelle prime fasi del ciclo di vita del ransomware. Concentrandosi sulle attività di ricognizione, movimento laterale e crittografia, Vectra consente ai team di sicurezza di bloccare il ransomware prima che causi danni catastrofici. Volete vedere come Vectra AI può aiutare a proteggere la vostra organizzazione? Richiedete una demo autoguidata ed esplorate la potenza dell'intelligenza artificiale nella difesa dal ransomware.