Tecnica di attacco
Ransomware
Il ransomware si sta evolvendo, e anche la tua strategia di rilevamento delle minacce e di risposta dovrebbe farlo.
Definizione
Che cos'è un ransomware?
Il ransomware è un tipo di software dannoso progettato per crittografare i file su un dispositivo, impedendo di fatto agli utenti di accedere ai propri dati o sistemi. Gli aggressori richiedono quindi alla vittima il pagamento di un riscatto, solitamente in criptovaluta, in cambio della chiave di decrittazione necessaria per riottenere l'accesso ai file.
Come funziona
Come funziona il ransomware?
Il ransomware si infiltra tipicamente in un sistema tramite phishing , download dannosi o kit di exploit che sfruttano le vulnerabilità. Una volta all'interno, segue questi passaggi principali:
- Infiltrazione ed esecuzione: il ransomware si installa sul dispositivo e inizia l'esecuzione.
- Crittografia dei dati: esegue la scansione alla ricerca di file importanti, quali documenti, immagini e database, e li crittografa utilizzando algoritmi di crittografia avanzati, rendendoli inaccessibili.
- Richiesta di riscatto: il ransomware visualizza un messaggio che informa l'utente dell'attacco, fornendo istruzioni per il pagamento del riscatto al fine di recuperare una chiave di decrittazione.
- Propagazione (opzionale): alcune varianti di ransomware tentano di diffondersi ad altri sistemi collegati, bloccando ulteriormente la rete della vittima.
Perché gli aggressori lo utilizzano
Perché gli hacker usano tecniche ransomware?
Gli aggressori utilizzano tecniche ransomware principalmente per generare entrate estorcendo denaro alle vittime. Ecco i motivi principali:
- Guadagno finanziario: il pagamento dei riscatti, spesso in criptovalute non tracciabili, offre rendimenti rapidi e potenzialmente elevati, soprattutto quando si prendono di mira organizzazioni che non possono permettersi lunghi periodi di inattività.
- Interruzione e pressione: il ransomware crea interruzioni operative immediate e gravi, soprattutto nei settori che dipendono dall'accesso costante ai dati (ad esempio, sanità, finanza). Questa pressione può costringere le vittime a pagare più rapidamente.
- Furto di dati e doppia estorsione: alcuni autori di attacchi ransomware rubano i dati prima della crittografia, minacciando di renderli pubblici se non viene pagato il riscatto. Questa tattica di "doppia estorsione"può aumentare significativamente la pressione sulla vittima.
- Accessibilità e automazione: il Ransomware-as-a-Service (RaaS) consente anche agli hacker meno esperti di distribuire ransomware tramite kit predefiniti, rendendolo un metodo accessibile e scalabile per i criminali informatici.
- Rischio basso: i criminali informatici affrontano rischi limitati, poiché possono operare in modo anonimo da paesi con leggi di estradizione limitate, mentre le transazioni in criptovaluta forniscono un ulteriore livello di oscurità.
Questi motivi spingono gli aggressori a utilizzare il ransomware come un modo efficace per ottenere un guadagno economico causando il massimo impatto sui loro obiettivi.
Rilevamenti della piattaforma
Come rilevare un ransomware?
Vectra AI il ransomware identificando modelli anomali di accesso e modifica dei file tipici del comportamento del ransomware. Ecco come:
- Analisi comportamentale: Vectra AI monitora Vectra AI l'attività dei file, rilevando accessi rapidi ai file, tentativi di crittografia e modifiche compatibili con il ransomware.
- Anomalie dei privilegi: il ransomware spesso aumenta i privilegi per accedere o crittografare file critici. Vectra AI accessi insoliti ad account privilegiati o file system critici.
- Rilevamento dei movimenti laterali: Vectra AI i tentativi sospetti di movimenti laterali, in cui il ransomware cerca di diffondersi in una rete, avvisando i team di sicurezza affinché isolino i sistemi interessati.
Grazie a sofisticati sistemi di rilevamento basati sull'intelligenza artificiale, Vectra AI le attività ransomware nelle prime fasi della catena di attacco, consentendo ai team SOC di agire rapidamente e prevenire la crittografia o il danneggiamento esteso dei dati.
