Nel maggio 2017, l'attacco ransomware WannaCry ha fatto notizia in tutto il mondo, sfruttando una vulnerabilità di Microsoft Windows per infettare rapidamente oltre 200.000 computer in 150 paesi. Questo attacco ransomware su larga scala è stato attribuito al Lazarus Group, un gruppo di criminali informatici con presunti legami con la Corea del Nord. L'exploit EternalBlue, trapelato dalla NSA, è stato un elemento chiave dell'attacco, consentendo a WannaCry di diffondersi rapidamente attraverso le reti. Nonostante la sua rapida propagazione, i comportamenti di WannaCry una volta all'interno di una rete sono ben noti ai professionisti della sicurezza.
Vectra Threat Labs ha analizzato il funzionamento interno di WannaCry per comprenderne la minaccia. Ha scoperto che, sebbene il metodo di infezione iniziale potesse essere innovativo, i comportamenti mostrati da WannaCry sono tipici dei ransomware che Vectra ha già incontrato in precedenza. Ciò evidenzia l'importanza di concentrarsi sul rilevamento dei comportamenti dei ransomware, piuttosto che affidarsi esclusivamente all'identificazione di exploit specifici o malware . I clienti di Vectra stavano già rilevando e bloccando minacce simili molto prima che WannaCry causasse un'interruzione a livello globale.
Come funziona WannaCry?
Una volta infettato un computer, WannaCry segue un modello familiare di ricognizione e movimento laterale attraverso le reti interne. Il ransomware esegue la scansione dei sistemi vulnerabili, si diffonde utilizzando la vulnerabilità MS17-010 e infine crittografa i file, richiedendo un pagamento in Bitcoin per ripristinare l'accesso. Sebbene questo tipo di attacco possa essere devastante, la Vectra AI è progettata per rilevare questi comportamenti, consentendo ai team di sicurezza di rispondere rapidamente e mitigare i danni.
Vectra rileverà WannaCry e le sue varianti?
Sì. Vectra è in grado di rilevare le infezioni attive da WannaCry e qualsiasi variante futura che potrebbe emergere. È importante ricordare che prima che un ransomware come WannaCry possa crittografare i file, deve prima effettuare una ricognizione della rete per individuare le condivisioni di file. Questo processo richiede una ricognizione interna, che Vectra è in grado di rilevare, insieme agli altri comportamenti associati agli host infetti.
L'approccio di Vectra assegna i punteggi più alti in termini di minaccia e certezza ai comportamenti ransomware, garantendo che questi rischi critici siano considerati prioritari per una risposta immediata agli incidenti. Il vantaggio per i clienti Vectra è che questi sistemi di rilevamento erano già in funzione prima dell'attacco di WannaCry, consentendo il rilevamento tempestivo di attività sospette.
Rilevamenti di Vectra relativi a comportamenti correlati a WannaCry
I rilevamenti basati sull'intelligenza artificiale di Vectra si fondano su una profonda comprensione dei comportamenti degli aggressori. Di seguito sono riportati alcuni comportamenti chiave osservati nelle infezioni da WannaCry:
- Command and Control: Comunicazione tramite la rete TOR, spesso utilizzata dagli hacker per nascondere le loro attività.
- Scansione della rete: scansione della rete interna e di Internet sulla porta 445 alla ricerca di sistemi vulnerabili all'exploit MS17-010.
- Malware automatica Malware : una volta identificato un computer vulnerabile, WannaCry si replica automaticamente per diffondersi ulteriormente.
- Crittografia dei file: crittografia dei file sia su unità locali che su condivisioni di rete mappate.
Come posso migliorare la mia risposta a WannaCry e alle sue varianti?
Per migliorare la tua risposta a WannaCry, devi innanzitutto dare priorità agli avvisi basati sul comportamento degli aggressori. Vectra consiglia di configurare avvisi e-mail specifici per i seguenti comportamenti degli aggressori:
- Scansione delle porte in uscita: scansione delle porte in uscita per individuare i sistemi vulnerabili.
- Scansione interna della Darknet: individuazione dei tentativi di trovare risorse interne nascoste o scarsamente protette.
- Replica automatica: identificazione dei tentativi di WannaCry di replicarsi attraverso la rete.
- Attività dei file ransomware: avvisi relativi ai file crittografati, che segnalano la presenza di ransomware attivo.
- Enumerazione delle condivisioni file: monitoraggio dei tentativi di individuare condivisioni di file nella rete.
Inoltre, si consiglia di segnalare tutte le attività TOR. Sebbene TOR sia uno strumento legittimo per garantire l'anonimato, raramente viene utilizzato in ambienti aziendali e spesso è indice di comportamenti sospetti.
Monitorando e dando priorità ai comportamenti associati a WannaCry e alle sue varianti, Vectra consente ai team di sicurezza di rispondere rapidamente alle infezioni, riducendo la possibilità di danni diffusi.
Quali azioni devo intraprendere se viene rilevato un attacco?
Vectra mette il potere nelle mani degli analisti della sicurezza, fornendo informazioni utili che aiutano a prendere decisioni rapide e informate. Se Vectra rileva comportamenti associati a WannaCry o minacce simili, i team di sicurezza possono scegliere di automatizzare le seguenti risposte in base alle politiche interne:
- Metti in quarantena l'host: WannaCry si diffonde come un worm, quindi isolare gli host infetti dalla rete può prevenire ulteriori danni.
- Host di destinazione in quarantena: se Vectra rileva una replica automatica, metti in quarantena gli IP di destinazione con cui l'host infetto ha tentato di comunicare.
- Reinstallazione e ripristino: per gli host infetti, reinstallare il sistema e ripristinare i file da un backup offline per evitare una nuova infezione.
- Ripristino dei file: in caso di crittografia ransomware, ripristinare i file crittografati dai backup offline per ridurre al minimo i tempi di inattività e prevenire la perdita di dati.
Contesto storico: il ruolo del gruppo Lazarus nell'attacco WannaCry
È importante sottolineare che WannaCry non era un attacco ransomware qualsiasi. Il malware collegato al Lazarus Group, un gruppo di hacker sponsorizzato dallo Stato noto per i suoi attacchi sofisticati. Questo gruppo, che si ritiene sia collegato alla Corea del Nord, è stato coinvolto in numerosi attacchi informatici, tra cui quelli contro istituzioni finanziarie, società di media e infrastrutture critiche. La rapida diffusione di WannaCry e le implicazioni politiche che ne derivano servono a ricordare la natura sempre più complessa delle minacce informatiche.
Prepararsi alla prossima ondata di ransomware e minacce persistenti avanzate (APT)
Con la continua evoluzione dei ransomware, le organizzazioni devono essere pronte ad affrontare nuove tattiche ed exploit, ma i comportamenti -ricognizione, movimento laterale, replica e crittografia- rimangono invariati. Concentrandosi sul rilevamento dei comportamenti in tempo reale, i team di sicurezza possono difendersi in modo proattivo dalle minacce emergenti, anche quando gli aggressori cambiano metodi e strumenti.
Vectra AI si impegna ad aiutare le organizzazioni a stare al passo con minacce sofisticate come WannaCry e quelle perpetrate dai gruppi APT (Advanced Persistent Threat). Per approfondire la tua comprensione di queste minacce in continua evoluzione, esplora le nostre pagine dettagliate sui gruppi ransomware e sugli attori APT, tra cui:
Ogni pagina offre approfondimenti sulle tattiche, tecniche e procedure (TTP) di questi autori delle minacce, aiutandoti a costruire una difesa più resiliente.
Qual è il prossimo passo per te?
Con Vectra AI, hai la possibilità di rilevare e bloccare attacchi sofisticati prima che si intensifichino. Contatta il tuo rappresentante Vectra o prenota una demo per scoprire come la nostra piattaforma può rafforzare la tua difesa contro ransomware e APT.