Questo ebook approfondisce diversi aspetti, dal motivo per cui individuare le attività degli aggressori e le operazioni di ricognizione (note come "ransomOps") è fondamentale per contrastare il ransomware, fino alle numerose misure che i professionisti della sicurezza stanno adottando per contrastare efficacemente le attuali tattiche dei ransomware. Illustreremo come i clienti che utilizzano i servizi MDR di Vectra riescano a rilevare gli attacchi in corso quasi immediatamente, oltre ad alcune sfide, osservazioni e raccomandazioni che ogni organizzazione dovrebbe conoscere.
Una cosa è certa: quando si tratta di fermare il ransomware, la differenza tra successo e fallimento sta tutta nella rapidità di risposta e nell'agire in fretta — fermiamo un po' di ransomware!
Prima di tutto, il ransomware è un business
Per quanto possa risultare sgradevole, le bande di ransomware e i loro affiliati gestiscono un'attività commerciale e, proprio come qualsiasi altra impresa, il loro scopo è quello di guadagnare denaro. Il loro obiettivo è il ritorno sull'investimento e, semplicemente, stanno sfruttando la loro capacità di accedere a sistemi e dati da cui poter rubare il più rapidamente possibile, chiedendoti nel contempo una somma ingente per la restituzione di ciò che ti appartiene.
Questo approccio è alla base di molte delle osservazioni discusse in questo ebook, mentre comprendere le motivazioni che spingono gli aggressori è un elemento fondamentale per qualsiasi strategia di sicurezza. Quando si conoscono le motivazioni degli aggressori e si è in grado di identificare chiaramente i sistemi e i dati di un ambiente la cui compromissione causerebbe gravi disagi, la propria organizzazione si troverà in una posizione favorevole per rendere il più difficile possibile lo svolgimento di un attacco.
Vediamo perché le simulazioni possono aiutare a mettere a fuoco la questione e in che modo i red team possono fornire una valutazione obiettiva dello stato di preparazione attuale.
Inizia dalle basi
Naturalmente, la soluzione migliore è impedire alle bande di hacker che utilizzano il ransomware di accedere al proprio ambiente. E anche se la prevenzione non è mai infallibile, un approccio incentrato sul ritorno sull'investimento può rivelarsi vantaggioso. Infatti, è possibile ridurre drasticamente il rischio adottando le giuste misure di base in materia di autenticazione e aggiornamento dei sistemi.
Questo perché l'accesso iniziale da parte degli hacker avviene molto spesso attraverso una vulnerabilità non corretta ed esposta alla DMZ, un account privo di autenticazione a più fattori (MFA) o altre falle di sicurezza facilmente sfruttabili. In sostanza, se le organizzazioni trascurano alcune delle misure preventive di base, gli hacker non hanno bisogno di ricorrere a tattiche sofisticate e dispendiose in termini di tempo per ottenere l'accesso.
La soluzione migliore è impedire alle bande di hacker che utilizzano il ransomware di accedere al proprio ambiente.
La buona notizia è che, abilitando l'autenticazione a più fattori (MFA) sulla VPN, sull'IDP e su altri punti di accesso, renderete la vita più difficile agli hacker, che potrebbero semplicemente decidere di provare a colpire un altro bersaglio. Lo stesso vale per la gestione delle patch: assicurarsi che le procedure di aggiornamento siano estese anche alla DMZ contribuirà a respingere gli attacchi. Sebbene nessuna strategia di prevenzione sia infallibile, investimenti oculati in questo ambito renderanno più difficile agli hacker riuscire a penetrare nel sistema.
Siate pronti a reagire con rapidità… di giorno o di notte
Mettendo a punto le basi si ridurrà il rischio, ma non lo si eliminerà del tutto. Le ragioni sono molteplici, ma la verità è che basta un solo errore nella configurazione dell'account, una patch non installata, un utente che clicca su un link che non dovrebbe... o una nuova vulnerabilità zero-day nella VPN che avete scelto (alimentata dalle ingenti somme di denaro che affluiscono nell'ecosistema del ransomware) per subire una violazione. Abbiamo visto di tutto.
E quando un autore di ransomware penetra nel vostro ambiente, aspettatevi che agisca in modo RAPIDO. Abbiamo certamente affrontato attacchi che si sono sviluppati lentamente nell’arco di diversi giorni; tuttavia, non è raro che la maggior parte di un attacco si verifichi in una sola serata, fuori dall’orario di lavoro. Ricordate, il tempo è denaro per gli aggressori che ragionano in termini di ROI. Che si tratti di concedere ai difensori il minor tempo possibile per reagire o semplicemente di giocare sul numero di vittime, in genere vediamo pochi segnali che gli aggressori cerchino di passare inosservati. Infatti, il tempo di permanenza globale degli attacchi ransomware è diminuito significativamente negli ultimi anni.
La buona notizia per i difensori è che la rapidità dell'attacco lo rende facilmente individuabile con la giusta tecnologia di rilevamento. Come nel caso di Vectra, abbiamo individuato i sistemi critici entro due minuti dall'accesso iniziale. Tuttavia, proprio a causa della rapidità con cui l'attacco si sviluppa, è fondamentale essere pronti a reagire in modo rapido e deciso per bloccare la minaccia prima che il ransomware venga distribuito.
Purtroppo, questa capacità di reagire rapidamente non si limita all'orario di lavoro. Abbiamo osservato attività di ricognizione iniziale e movimenti laterali a tutte le ore, apparentemente ogni volta che l’autore del ransomware aveva un po’ di tempo a disposizione. A volte ciò avviene in pieno giorno, altre volte di notte, nel fine settimana o persino durante le festività. Tuttavia, in base alle nostre osservazioni, la fase finale di esfiltrazione e crittografia è più probabile che avvenga nel cuore della notte, nel fine settimana o durante le festività, quando le capacità di risposta agli incidenti sono al minimo.
In pratica, ciò significa che un monitoraggio 24 ore su 24, 7 giorni su 7 è indispensabile.
Preparate un piano d'azione per la risposta
Il primo passo per reagire a una minaccia di ransomware è individuare l'autore dell'attacco all'interno del proprio ambiente. È altrettanto fondamentale sapere cosa fare in vari scenari per fermare l'attacco. Fino a che punto siete disposti a spingervi? In uno dei nostri interventi, l'autore dell'attacco è riuscito ad arrivare fino al ruolo di amministratore di dominio sul controller di dominio, dove il team di sicurezza in campo ha dovuto prendere una decisione in una frazione di secondo per disconnettere completamente i propri sistemi da Internet al fine di guadagnare tempo per la risposta. Fortunatamente, per loro ha funzionato.
Per quanto quel team fosse stato sul punto di subire un attacco ransomware, questo scenario non è poi così raro. Vale la pena chiedersi: se la vostra organizzazione si trovasse nella stessa situazione, cosa fareste? Un tale livello di interruzione sarebbe accettabile per l'azienda? Sareste in grado di reagire in modo efficace senza che il vostro personale di sicurezza remoto disponga di connettività? Esistono altre opzioni di risposta che dovreste acquistare?
Abbiamo constatato che agire in modo rapido e deciso anche sotto pressione è un elemento fondamentale per una risposta efficace. Conoscere e mettere in pratica il proprio piano d'azione prima che se ne presenti la necessità potrebbe fare la differenza.
Per fermare il ransomware, non cercarlo
Gli attacchi ransomware moderni (o, per meglio dire, i "ransomOps") non distribuiscono il file binario del ransomware fino alla fase finale dell'attacco. Ciò significa che, se si individua il ransomware stesso, molto probabilmente sarà già troppo tardi.
Si tratta di un errore comune, poiché per bloccare questi attacchi in corso è necessario individuare e reagire alle fasi che precedono l’effettiva distribuzione del ransomware. La realtà è che quasi certamente ci si troverà ad agire senza conoscere appieno l’avversario o il suo obiettivo finale. In molti casi, si assisterà a un attacco in rapida evoluzione e, potenzialmente, si noteranno alcuni segnali rivelatori negli strumenti o nell'infrastruttura C2 che consentono di formulare un'ipotesi plausibile su ciò che sta accadendo.
In questo caso, i vostri piani di risposta dovranno concentrarsi su una tipologia più generica di intrusioni e sulla progressione degli attacchi, tenendo presente che lo scenario finale è solo una possibilità e non una certezza.
La contabilità e gli strumenti di amministrazione sono fondamentali
Abbiamo rilevato l'utilizzo di exploit per ottenere l'accesso iniziale e, occasionalmente, per il movimento laterale. Tuttavia, come nella maggior parte degli attacchi moderni, l'attenzione è rivolta alle credenziali, in particolare agli account amministrativi e di servizio. In combinazione con i protocolli amministrativi, queste sono le tattiche preferite da praticamente tutti gli affiliati di ransomware.
Come in molti attacchi, l'obiettivo è quello di ottenere i privilegi di amministratore di dominio sul controller di dominio per avviare la fase finale dell'attacco. Da questa posizione privilegiata, è facile accedere ai dati più preziosi. È inoltre possibile distribuire il ransomware con estrema rapidità, utilizzando strumenti di amministrazione quali i GPO.
Data l'importanza attribuita alle credenziali, è fondamentale monitorare attentamente l'utilizzo di tutti gli account con privilegi, poiché abbiamo constatato che questo rappresenta senza dubbio uno dei segnali più significativi per l'individuazione degli attacchi.
Comportamenti tipici dei ransomware
Gli analisti di Vectra hanno individuato le principali sfide relative agli utenti, ai processi e alla sicurezza che ricorrevano in diversi progetti con i clienti.
Accesso iniziale
Gli hacker continuano a cercare vulnerabilità nei servizi e nei sistemi accessibili al pubblico e collegati a Internet.
I server che eseguono RDP, FTP o VPN sono bersagli molto ambiti, poiché consentono di ottenere un accesso iniziale alle reti aziendali e cloud.
La mancanza di autenticazione a più fattori (MFA) è una vulnerabilità spesso presa di mira.
In alcuni casi, lo svolgimento dell'attacco ha richiesto ore dall'accesso iniziale, mentre in altri casi ci sono voluti giorni o addirittura settimane. I team di sicurezza hanno il tempo di individuare e reagire tempestivamente, ma ciò richiede una vigilanza costante, 24 ore su 24, 7 giorni su 7.
Command and Control C2)
Cobalt Strike essere lo strumento più utilizzato al momento.
Per controllare i sistemi sono stati utilizzati anche strumenti di accesso remoto molto diffusi, indipendentemente dal fatto che fossero autorizzati o meno. In un caso, abbiamo rilevato che il software Cisco AnyConnect veniva utilizzato per controllare i computer interni da parte di una persona dall'esterno.
Ricognizione e spostamento laterale
Nella maggior parte dei casi la scansione è stata aggressiva e ha compreso la mappatura della rete, le query rDNS e l'enumerazione delle condivisioni. La rapidità della scansione ha reso gli attacchi visibili, in genere, già pochi minuti dopo l'accesso iniziale.
Erano inoltre frequenti le attività di ricognizione relative alle credenziali, comprese le query LDAP e le chiamate RPC volte a individuare la posizione delle credenziali.
Nelle fasi iniziali, gli attacchi si basavano principalmente su exploit comuni. Nelle fasi successive, invece, si è fatto ricorso soprattutto a credenziali e protocolli amministrativi.
Esfiltrazione
I siti di condivisione file gratuiti venivano comunemente utilizzati per caricare informazioni di ricognizione da sottoporre ad analisi. Tra questi figuravano Mega Upload (mega.com) e temp.sh.
Raccomandazioni per la prevenzione, il rilevamento e la risposta al ransomware
I nostri team collaborano quotidianamente a stretto contatto con i team di sicurezza, rispondendo agli avvisi critici generati dalle soluzioni di rilevamento e risposta alle minacceVectra AI. Quando entriamo in contatto con i clienti per la prima volta, non è immediatamente chiaro se una minaccia sia effettivamente un ransomware. Man mano che la gravità degli avvisi aumenta, riusciamo a ottenere maggiore chiarezza e contesto sull'attacco e a determinare se si tratta effettivamente di ransomware. Abbiamo individuato una serie di strumenti e pratiche di sicurezza che rendono più difficile per gli avversari portare a termine con successo campagne di ransomware e, in ultima analisi, le bloccano con certezza. Tra questi vi sono.
Prevenzione
Valutate regolarmente il vostro livello di sicurezza esterna e applicate le correzioni più urgenti. Concentratevi in particolare sull'infrastruttura di accesso remoto e sui servizi comunemente vulnerabili come RDP e FTP, che si sono rivelati obiettivi molto ambiti.
Attivare l'autenticazione a più fattori (MFA) ogni volta che è possibile su qualsiasi provider di identità o infrastruttura di accesso remoto.
In generale, l'adozione di rigorosi controlli preventivi, norme e politiche rende più difficile l'escalation dei privilegi anche dopo l'accesso, garantendo così più tempo per intervenire.
Un'area di particolare interesse è quella degli account con privilegi. Sebbene ciò comporti delle difficoltà operative, più si riesce a canalizzare l'utilizzo attraverso server di passaggio e sistemi di gestione degli account con privilegi, più difficile sarà il percorso di escalation.
Rilevamento
C'è tempo per bloccare l'attacco dopo che l'autore del ransomware ha ottenuto l'accesso e prima che i dati vengano sottratti o che il ransomware venga attivato.
Investite in soluzioni di rilevamento e risposta alle minacce a livello di rete, infrastruttura di gestione delle identità, cloud endpoint massimizzare le probabilità di individuare tempestivamente le minacce.
Indagini e interventi
Gli attacchi ransomware possono svilupparsi rapidamente, a qualsiasi ora del giorno e della notte. È fondamentale garantire il monitoraggio degli avvisi critici 24 ore su 24, 7 giorni su 7, 365 giorni all'anno, sia potenziando i team interni sia avvalendosi di soluzioni di rilevamento e risposta gestiti (MDR) o di servizi MSSP.
L'integrazione dei dati telemetrici provenienti cloud di rete, endpoint e cloud offre il contesto, la chiarezza e le informazioni aggiuntive più utili per analizzare le minacce e individuare con certezza la causa principale.
Analizzare l'aumento dell'attività di scansione nella propria DMZ prima dell'accesso iniziale, in combinazione con le informazioni OSINT, può consentire una valutazione tempestiva del probabile autore della minaccia e fornire maggiore chiarezza nella risposta.
