Nel maggio 2017, l'attacco ransomware WannaCry ha fatto notizia in tutto il mondo, sfruttando una vulnerabilità di Microsoft Windows per infettare rapidamente oltre 200.000 computer in 150 Paesi. Questo attacco ransomware su larga scala è stato attribuito al Lazarus Group, un gruppo di criminalità informatica con presunti legami con la Corea del Nord. L'exploit EternalBlue, trapelato dall'NSA, è stato un componente chiave dell'attacco, consentendo a WannaCry di diffondersi rapidamente attraverso le reti. Nonostante la sua rapida propagazione, i comportamenti che WannaCry esegue una volta all'interno di una rete sono ben noti ai professionisti della sicurezza.
I Vectra Threat Labs hanno analizzato il funzionamento interno di WannaCry per comprendere la minaccia. Hanno scoperto che, sebbene il metodo di infezione iniziale possa essere stato nuovo, i comportamenti esibiti da WannaCry sono tipici dei ransomware che Vectra ha incontrato in precedenza. Ciò evidenzia la forza di concentrarsi sul rilevamento dei comportamenti dei ransomware, piuttosto che affidarsi esclusivamente all'identificazione di exploit specifici o firme di malware . I clienti di Vectra stavano già rilevando e bloccando minacce simili molto prima che WannaCry causasse un'interruzione globale.
Come funziona WannaCry?
Una volta infettato un computer, WannaCry segue un modello familiare di ricognizione e movimento laterale attraverso le reti interne. Il ransomware esegue la scansione dei sistemi vulnerabili, si diffonde utilizzando la vulnerabilità MS17-010 e infine cripta i file, richiedendo il pagamento in Bitcoin per ripristinare l'accesso. Sebbene questo tipo di attacco possa essere devastante, la piattaforma Vectra AI Platform è progettata per rilevare questi comportamenti, consentendo ai team di sicurezza di rispondere rapidamente e di ridurre i danni.
Vectra rileverà WannaCry e le sue varianti?
Sì. Vectra è in grado di rilevare le infezioni WannaCry attive e qualsiasi variante futura che possa emergere. È importante ricordare che prima che un ransomware come WannaCry possa criptare i file, deve innanzitutto esplorare la rete per individuare le condivisioni di file. Questo processo richiede una ricognizione interna, che Vectra è in grado di rilevare, insieme agli altri comportamenti associati agli host infetti.
L'approccio di Vectra assegna i punteggi più alti di minaccia e certezza ai comportamenti dei ransomware, garantendo che questi rischi critici siano prioritari per una risposta immediata agli incidenti. Il vantaggio per i clienti di Vectra è che questi rilevamenti sono stati effettuati prima dell'arrivo di WannaCry, consentendo di individuare tempestivamente le attività sospette.
Rilevamenti di Vectra di comportamenti correlati a WannaCry
I rilevamenti guidati dall'intelligenza artificiale di Vectra si basano su una profonda comprensione dei comportamenti degli aggressori. Di seguito sono riportati alcuni comportamenti chiave osservati nelle infezioni da WannaCry:
- Command and Control: Comunicazione attraverso la rete TOR, spesso utilizzata dagli aggressori per nascondere le proprie attività.
- Scansione della rete: Scansione della rete interna e di Internet sulla porta 445 alla ricerca di sistemi vulnerabili all'exploit MS17-010.
- Replica automatica Malware : Una volta identificata una macchina vulnerabile, WannaCry si replica automaticamente per diffondersi ulteriormente.
- Crittografia dei file: Crittografia dei file sia sulle unità locali che sulle condivisioni di rete mappate.
Come migliorare la risposta a WannaCry e alle sue varianti?
Il miglioramento della risposta a WannaCry inizia con la prioritizzazione degli avvisi in base al comportamento dell'aggressore. Vectra consiglia di configurare avvisi e-mail specifici per i seguenti comportamenti degli aggressori:
- Port Sweep in uscita: Scansione delle porte in uscita per individuare i sistemi vulnerabili.
- Scansione Darknet interna: Rilevamento dei tentativi di trovare risorse interne nascoste o scarsamente protette.
- Replica automatica: Identificazione dei tentativi di WannaCry di replicarsi attraverso la rete.
- Attività dei file Ransomware: Avverte della presenza di file crittografati, segnalando la presenza di un ransomware attivo.
- Enumerazione della condivisione dei file: Monitoraggio dei tentativi di individuare le condivisioni di file nella rete.
Inoltre, si consiglia di segnalare tutte le attività TOR. Sebbene TOR sia uno strumento legittimo per l'anonimato, è raramente utilizzato in ambienti aziendali e spesso segnala comportamenti sospetti.
Monitorando e dando priorità ai comportamenti associati a WannaCry e alle sue varianti, Vectra consente ai team di sicurezza di rispondere rapidamente alle infezioni, riducendo la possibilità di danni diffusi.
Quali sono le azioni da intraprendere in caso di rilevamento di un attacco?
Vectra mette il potere nelle mani degli analisti della sicurezza, fornendo approfondimenti praticabili che aiutano a prendere decisioni rapide e informate. Se Vectra rileva comportamenti associati a WannaCry o a minacce simili, i team di sicurezza possono scegliere di automatizzare le seguenti risposte in base alle policy interne:
- Mettere in quarantena l'host: WannaCry si diffonde come un worm, quindi l'isolamento degli host infetti dalla rete può prevenire ulteriori danni.
- Quarantena degli host di destinazione: Se Vectra rileva la replica automatica, mette in quarantena gli IP di destinazione con cui l'host infetto ha cercato di comunicare.
- Reimage e ripristino: Per gli host infetti, eseguire il reimage del sistema e ripristinare i file da un backup offline per evitare la reinfezione.
- Ripristino dei file: In caso di crittografia ransomware, ripristinare i file crittografati da backup offline per ridurre al minimo i tempi di inattività e prevenire la perdita di dati.
Contesto storico: Il ruolo del Gruppo Lazarus in WannaCry
È importante notare che WannaCry non è stato un attacco ransomware qualsiasi. Il malware era collegato al Gruppo Lazarusun gruppo di hacker sponsorizzato dallo Stato e noto per i suoi attacchi sofisticati. Questo gruppo, che si ritiene sia collegato alla Corea del Nord, è stato coinvolto in numerosi attacchi informatici, tra cui istituzioni finanziarie, società di media e infrastrutture critiche. La rapida diffusione di WannaCry e le implicazioni politiche che ne derivano ci ricordano la natura sempre più complessa delle minacce informatiche.
Prepararsi alla prossima ondata di ransomware e minacce persistenti avanzate (APT)
Con la continua evoluzione del ransomware, le organizzazioni devono essere pronte ad affrontare nuove tattiche ed exploit, ma i comportamenti - ricognizione, movimento laterale, replica e crittografia - rimangonocostanti. Concentrandosi sul rilevamento dei comportamenti in tempo reale, i team di sicurezza possono difendersi in modo proattivo dalle minacce emergenti, anche quando gli aggressori cambiano i loro metodi e strumenti.
Vectra AI è impegnata ad aiutare le organizzazioni a prevenire minacce sofisticate come WannaCry e quelle portate avanti da gruppi di Advanced Persistent Threat (APT). Per approfondire la comprensione di queste minacce in evoluzione, esplorate le nostre pagine dettagliate sui gruppi ransomware e sugli attori APT, tra cui:
Ogni pagina offre approfondimenti sulle tattiche, le tecniche e le procedure (TTP) di questi attori delle minacce, aiutandovi a costruire una difesa più resistente.
Cosa vi aspetta?
Con Vectra AI, avete la possibilità di rilevare e bloccare attacchi sofisticati prima che si intensifichino. Contattate il vostro rappresentante Vectra o programmare una demo per scoprire come la nostra piattaforma può rafforzare la vostra difesa contro ransomware e APT.