Come fermare il ransomware

Questo ebook approfondisce tutti gli aspetti relativi all'importanza fondamentale di rilevare le attività degli aggressori e le operazioni di ricognizione note come ransomOps per bloccare il ransomware, nonché molte delle misure adottate dai professionisti della sicurezza per contrastare con successo le attuali tattiche di ransomware. Condivideremo come i clienti che utilizzano i servizi MDR di Vectra sono in grado di rilevare quasi immediatamente gli attacchi attivi, nonché alcune delle sfide, osservazioni e raccomandazioni che ogni organizzazione dovrebbe conoscere.

Una cosa è certa: la differenza tra successo e fallimento quando si tratta di fermare il ransomware dipende dalla velocità di risposta e dalla rapidità di azione. Fermiamo il ransomware!

Innanzitutto, il ransomware è un business

Per quanto possa essere sgradevole, le bande di ransomware e i loro affiliati gestiscono un'attività commerciale e, proprio come qualsiasi altra attività commerciale, esistono per fare soldi. Hanno una mentalità orientata al ROI e semplicemente approfittano della possibilità di raggiungere sistemi e dati che possono rubare il più rapidamente possibile, mentre ti fanno pagare una somma ingente per la restituzione della tua proprietà.

Questo modo di pensare è alla base di molte delle osservazioni discusse in questo ebook, mentre comprendere le motivazioni che spingono gli aggressori è un elemento chiave di qualsiasi strategia di sicurezza. Quando si conoscono le motivazioni degli aggressori e si è in grado di identificare chiaramente i sistemi e i dati in un ambiente che causerebbero interruzioni se compromessi, la vostra organizzazione sarà in una posizione favorevole per rendere il più difficile possibile lo svolgimento di un attacco.

Vediamo perché i tavoli da gioco possono aiutare a mettere a fuoco questo aspetto e in che modo i red team possono fornire una valutazione obiettiva dell'attuale stato di preparazione.

Inizia dalle basi

Naturalmente, il risultato migliore è impedire alle bande di ransomware di accedere al proprio ambiente. E anche se la prevenzione non è mai infallibile, l'approccio basato sul ROI può giocare a proprio vantaggio. Infatti, è possibile ridurre drasticamente il rischio adottando le misure di base per l'autenticazione e l'applicazione delle patch.

Questo perché l'accesso iniziale da parte degli aggressori avviene più comunemente tramite una vulnerabilità non corretta ed esposta alla DMZ, un account senza MFA o simili bersagli facili. In sostanza, se le organizzazioni trascurano alcuni dei metodi di prevenzione di base, gli aggressori non hanno bisogno di ricorrere a tattiche sofisticate e dispendiose in termini di tempo per ottenere l'accesso.

Il risultato migliore è impedire alle bande di ransomware di accedere al tuo ambiente.

La buona notizia è che abilitando l'autenticazione a più fattori (MFA) sulla VPN, sull'IDP e su altri punti di accesso, renderete la vita più difficile agli aggressori, che potrebbero decidere di provare a colpire qualcun altro. Lo stesso vale per la gestione delle patch: assicurarsi che le pratiche di patch siano estese a tutta la DMZ contribuirà a respingere gli attacchi. Sebbene nessuna strategia di prevenzione sia infallibile, investimenti ragionevoli nella prevenzione renderanno più difficile l'accesso agli aggressori.

Siate pronti a reagire rapidamente... giorno e notte

L'adozione delle misure di base migliorerà la situazione, ma non eliminerà il rischio. Ci sono molte ragioni per questo, ma la verità è che basta un solo errore nella configurazione dell'account, una patch mancata, un utente che clicca su un link che non dovrebbe... o un nuovo 0-day nella VPN di vostra scelta (finanziato dai soldi che affluiscono nell'ecosistema del ransomware) per compromettere la sicurezza. Abbiamo visto di tutto.

E quando un autore di ransomware entra nel vostro ambiente, aspettatevi che agisca RAPIDAMENTE. Abbiamo certamente risposto ad attacchi che sono progrediti lentamente nel corso di diversi giorni, tuttavia non è raro che la maggior parte di un attacco avvenga in una sola serata, dopo l'orario di lavoro. Ricordate che il tempo è denaro per gli aggressori che pensano in termini di ROI. Che si tratti di concedere ai difensori il minor tempo possibile per reagire o semplicemente di giocare con i numeri, in genere vediamo pochi segnali che indicano che gli aggressori cerchino di passare inosservati. Infatti, il tempo di permanenza globale degli attacchi ransomware è diminuito significativamente negli ultimi anni.

La buona notizia per i difensori è che la velocità rende l'attacco evidente con la giusta tecnologia di rilevamento. Come nel caso di Vectra, abbiamo individuato host critici entro due minuti dall'accesso iniziale. Tuttavia, data la rapidità con cui l'attacco progredisce, è fondamentale essere pronti a reagire in modo rapido e deciso per bloccare la minaccia prima che il ransomware venga distribuito.

Purtroppo, questa capacità di reagire rapidamente non si limita all'orario di lavoro. Abbiamo osservato che le attività di ricognizione iniziale e di movimento laterale avvengono a tutte le ore, apparentemente ogni volta che l'autore del ransomware ha tempo a disposizione. A volte ciò avviene in pieno giorno, altre volte di notte, durante il fine settimana o persino durante le festività. Tuttavia, in base alle nostre osservazioni, è più probabile che la fase finale di esfiltrazione e crittografia avvenga nel cuore della notte, durante il fine settimana o nei giorni festivi, quando le capacità di risposta agli incidenti sono più deboli.

In pratica, ciò significa che il monitoraggio 24 ore su 24, 7 giorni su 7, è indispensabile.

Prepara un piano d'azione per rispondere

Il primo passo per rispondere a una minaccia ransomware è individuare l'avversario nel proprio ambiente. È altrettanto fondamentale sapere cosa fare in vari scenari per fermare l'attacco. Fino a che punto siete disposti a spingervi? In uno dei nostri interventi, l'aggressore è riuscito ad arrivare fino all'amministratore di dominio sul controller di dominio, dove il team di sicurezza in azione ha dovuto prendere una decisione in una frazione di secondo per disconnettere completamente i propri sistemi da Internet al fine di guadagnare tempo per rispondere. Fortunatamente, la strategia ha funzionato.

Per quanto quella squadra fosse vicina a un attacco ransomware, questo scenario non è poi così raro. Potrebbe valere la pena chiedersi: se la vostra organizzazione si trovasse nella stessa situazione, cosa fareste? Questo livello di interruzione sarebbe accettabile per l'azienda? Sareste in grado di rispondere in modo efficace senza la connettività per il vostro personale di sicurezza remoto? Ci sono altre opzioni di risposta che dovreste acquistare?

Abbiamo visto che agire in modo rapido e deciso sotto pressione è un ingrediente fondamentale per una risposta efficace. Conoscere e mettere in pratica il proprio piano d'azione prima che se ne presenti la necessità può fare la differenza.

Per fermare il ransomware, non cercare il ransomware

I moderni attacchi ransomware (in realtà ransomOps) non distribuiscono il file binario ransomware fino alla fine dell'attacco. Ciò significa che se si nota la presenza del ransomware, molto probabilmente sarà troppo tardi.

Si tratta di un malinteso comune, perché per fermare questi attacchi in corso è necessario individuare e reagire alle fasi che precedono l'implementazione del ransomware. La realtà è che quasi certamente opererete senza conoscere appieno l'avversario o il suo obiettivo finale. In molti casi, si assisterà a un attacco in rapida evoluzione e potenzialmente a alcuni segnali rivelatori negli strumenti o nell'infrastruttura C2 che consentono di formulare ipotesi plausibili su ciò che sta accadendo.

In questo caso, i piani di risposta dovranno concentrarsi su una classe più generale di intrusioni e progressione degli attacchi, tenendo presente che il risultato finale è solo una probabilità e non una certezza.

Gli strumenti di contabilità e amministrazione sono fondamentali

Abbiamo osservato exploit utilizzati per ottenere l'accesso iniziale e, occasionalmente, per il movimento laterale. Tuttavia, come nella maggior parte degli attacchi moderni, l'attenzione è rivolta alle credenziali, ovvero agli account amministrativi e di servizio. In combinazione con i protocolli amministrativi, queste sono le tattiche preferite da praticamente tutti gli affiliati di ransomware.

L'obiettivo, come in molti attacchi, è quello di ottenere l'accesso come amministratore di dominio sul controller di dominio per lanciare la fase finale dell'attacco. Da questa posizione privilegiata, è facile ottenere l'accesso ai dati più preziosi. È anche possibile distribuire il ransomware in modo estremamente rapido, utilizzando strumenti di amministrazione come GPO.

Data l'importanza delle credenziali, è fondamentale monitorare attentamente l'utilizzo di tutti gli account privilegiati, poiché abbiamo constatato che questo è uno dei segnali più affidabili per il rilevamento degli attacchi.

Comportamento comune dei ransomware

Gli analisti di Vectra hanno raccolto le sfide relative agli utenti, ai processi e alla sicurezza che erano comuni a diversi clienti.

Accesso iniziale

• Gli hacker continuano a cercare vulnerabilità nei servizi e nei sistemi accessibili al pubblico e connessi a Internet.
• I server che eseguono RDP, FTP o VPN sono obiettivi molto diffusi, poiché consentono l'accesso iniziale alle aziende e cloud.
• La mancanza di MFA è una lacuna comunemente presa di mira.
• In alcuni casi, l'attacco è durato ore dal momento dell'intrusione iniziale, mentre in altri casi è durato giorni o addirittura settimane. I team di sicurezza hanno il tempo di rilevare e rispondere tempestivamente, ma ciò richiede una vigilanza 24 ore su 24, 7 giorni su 7.

Command and Control C2)

• Cobalt Strike essere lo strumento preferito al momento.
• Anche i più diffusi strumenti di accesso remoto, indipendentemente dal fatto che fossero autorizzati o meno, sono stati utilizzati per controllare i sistemi. In un caso, abbiamo rilevato l'utilizzo del software Cisco AnyConnect per controllare macchine interne da parte di una persona esterna.

Ricognizione e movimento laterale

• Nella maggior parte dei casi la scansione era aggressiva e includeva la mappatura della rete, query rDNS e enumerazione delle condivisioni. La rapidità della scansione rendeva generalmente visibili gli attacchi entro pochi minuti dall'accesso iniziale.
• Anche le ricognizioni relative alle credenziali, comprese le query LDAP e le chiamate RPC per mappare le posizioni delle credenziali, erano comuni.
• Il movimento laterale nelle fasi iniziali includeva exploit comuni. Le fasi successive si basavano principalmente su credenziali e protocolli amministrativi.

Esfiltrazione

• I siti di condivisione file gratuiti erano comunemente utilizzati per caricare informazioni di ricognizione da analizzare. Tra questi figuravano Mega Upload (mega.com) e temp.sh.

Raccomandazioni per la prevenzione, il rilevamento e la risposta al ransomware

I nostri team lavorano quotidianamente a stretto contatto con i team di sicurezza, rispondendo agli avvisi critici generati dalle soluzioni di rilevamento e risposta alle minacceVectra AI. Quando iniziamo a interagire con i clienti, non è immediatamente chiaro se una minaccia sia un ransomware. Man mano che gli avvisi diventano più gravi, siamo in grado di ottenere maggiore chiarezza e contesto sull'attacco e determinare se si tratta effettivamente di ransomware. Abbiamo individuato una serie di strumenti e pratiche di sicurezza che rendono più difficile per gli avversari portare a termine con successo campagne di ransomware e, in ultima analisi, fermarli con certezza. Questi includono.

Prevenzione

• Valutate regolarmente il vostro livello di sicurezza esterna e implementate correzioni ad alta priorità. Concentratevi in particolare sull'infrastruttura di accesso remoto e sui servizi comunemente vulnerabili come RDP e FTP, che si sono dimostrati obiettivi molto popolari.
• Abilita l'autenticazione a più fattori (MFA) ove possibile su qualsiasi provider di identità o infrastruttura di accesso remoto.
• In generale, controlli preventivi rigorosi, regole e politiche rendono più difficile l'escalation dei privilegi anche dopo l'accesso, il che consente di guadagnare più tempo per reagire.
• Un'area di particolare interesse è quella degli account privilegiati. Sebbene sia difficile dal punto di vista operativo, più si riesce a concentrare l'uso attraverso server di salto e sistemi di gestione degli account privilegiati, più difficile sarà il percorso di escalation.

Rilevamento

• C'è tempo per fermare l'attacco dopo che l'autore del ransomware ha ottenuto l'accesso e prima che i dati vengano sottratti o il ransomware venga distribuito.
• Investite nella rilevazione e nella risposta alle minacce nella vostra rete, infrastruttura di identità, cloud endpoint massimizzare le probabilità di rilevamento precoce.

Indagine e risposta

• Gli attacchi ransomware possono progredire rapidamente, in qualsiasi momento del giorno e della notte. È fondamentale garantire il monitoraggio degli avvisi critici 24 ore su 24, 7 giorni su 7, 365 giorni all'anno, sia potenziando i team interni sia sfruttando le offerte di rilevamento e risposta gestiti (MDR) o MSSP.
• L'integrazione della telemetria proveniente cloud di rete, endpoint e cloud offre il contesto, la chiarezza e l'arricchimento migliori per indagare sulle minacce e individuare la causa principale definitiva.
• Esaminare retrospettivamente l'aumento dell'attività di scansione della DMZ prima dell'accesso iniziale, in combinazione con OSINT, può fornire una valutazione precoce del probabile autore della minaccia e garantire maggiore chiarezza nella risposta.