Come fermare il ransomware

Questo ebook approfondisce i motivi per cui il rilevamento dell'attività dell'aggressore e la ricognizione nota come ransomOps sono fondamentali per fermare il ransomware e molti dei passi che i professionisti della sicurezza stanno compiendo per sbaragliare con successo le tattiche del ransomware odierno. Condivideremo come i clienti che utilizzano i servizi MDR di Vectra sono in grado di rilevare gli attacchi attivi quasi immediatamente, oltre ad alcune sfide, osservazioni e raccomandazioni che ogni organizzazione dovrebbe conoscere.

Una cosa è certa: la differenza tra il successo e il fallimento quando si tratta di bloccare un ransomware si riduce alla velocità di risposta e all'azione rapida - fermiamo un ransomware!

Prima di tutto, il ransomware è un'attività commerciale

Per quanto possa essere sgradevole, le bande di ransomware e i loro affiliati gestiscono un'attività commerciale e, proprio come qualsiasi altra attività commerciale, esistono per fare soldi. Hanno una mentalità di ROI e si dà il caso che stiano incassando la capacità di raggiungere sistemi e dati che possono rubare il più rapidamente possibile, facendo pagare all'utente una somma considerevole per la restituzione della sua proprietà.

Questa mentalità è alla base di molte delle osservazioni discusse in questo ebook, mentre la comprensione delle motivazioni che spingono gli aggressori è un elemento chiave per qualsiasi strategia di sicurezza. Quando saprete cosa spinge gli aggressori e riuscirete a identificare chiaramente i sistemi e i dati di un ambiente che, se compromessi, causerebbero un'interruzione, la vostra organizzazione sarà in una buona posizione per rendere il più difficile possibile lo svolgimento di un attacco.

Vediamo perché i tabletops possono aiutare a mettere a fuoco questo aspetto e come i red teams possono dare una valutazione oggettiva della preparazione attuale.

Iniziare con le basi

Naturalmente, il risultato migliore è impedire alle bande di ransomware di accedere al vostro ambiente. Anche se la prevenzione non è mai infallibile, la mentalità del ROI può giocare a vostro favore. Infatti, è possibile ridurre drasticamente il rischio adottando le regole di base dell'igiene dell'autenticazione e delle patch.

Questo perché l'accesso iniziale da parte degli aggressori avviene più comunemente tramite una vulnerabilità non patchata ed esposta in DMZ, un account privo di MFA o altri simili frutti a portata di mano. In pratica, se le organizzazioni non adottano alcuni dei metodi di prevenzione di base, non c'è bisogno che gli aggressori utilizzino tattiche sofisticate e lunghe per ottenere l'accesso.

Il risultato migliore è quello di impedire alle bande di ransomware di accedere al vostro ambiente.

La buona notizia è che abilitando l'MFA (autenticazione a più fattori) sulla VPN, sull'IDP e su altri punti di accesso, renderete la vita più difficile agli aggressori che potrebbero decidere di bussare alla porta di qualcun altro. Lo stesso vale per la gestione delle patch: assicurarsi che le pratiche di patch si estendano a tutta la DMZ aiuterà a respingere gli attacchi. Anche se nessuna strategia di prevenzione è infallibile, investimenti ragionevoli nella prevenzione renderanno più difficile l'ingresso degli aggressori.

Pronti a rispondere in velocità... di giorno o di notte

L'attenzione alle basi migliorerà, ma non eliminerà il rischio. Le ragioni sono molteplici, ma la verità è che basta un solo errore nella configurazione dell'account, una patch mancata, un utente che fa clic su un link che non dovrebbe... o un nuovo 0-day nella VPN scelta (finanziato dalle grandi quantità di denaro che confluiscono nell'ecosistema del ransomware) per sfondare. Ne abbiamo viste di tutti i colori.

E quando un attore del ransomware entra nel vostro ambiente, aspettatevi che si muova in fretta. Abbiamo certamente risposto ad attacchi che progredivano lentamente nell'arco di diversi giorni, tuttavia non è raro che la maggior parte di un attacco si verifichi in un'unica serata dopo l'orario di lavoro. Ricordate che il tempo è denaro per gli aggressori che hanno una mentalità ROI. Sia che si tratti di concedere ai difensori il minor tempo possibile per rispondere, sia che si tratti semplicemente di un gioco di numeri, in genere vediamo pochi segni di attacchi che cercano di non farsi notare. In effetti, il tempo di permanenza globale degli attacchi ransomware è diminuito notevolmente negli ultimi anni.

La buona notizia per i difensori è che la velocità rende evidente l'attacco con la giusta tecnologia di rilevamento. Come nel caso di Vectra, abbiamo visto host critici entro due minuti dall'accesso iniziale. Tuttavia, a causa della velocità di progressione dell'attacco, è fondamentale essere pronti a rispondere in modo rapido e deciso per bloccare la minaccia prima della diffusione del ransomware.

Purtroppo, questa capacità di risposta rapida non è limitata alle ore lavorative. Abbiamo osservato ricognizioni e movimenti laterali in fase iniziale che si verificano a tutte le ore, apparentemente ogni volta che l'attore del ransomware ha un po' di tempo. A volte si verifica nel bel mezzo della giornata, altre volte di notte, durante il fine settimana o persino durante una festività. Tuttavia, in base alle nostre osservazioni, è più probabile che la spinta finale all'esfiltrazione e alla crittografia avvenga nel cuore della notte o durante un fine settimana o una festività, quando le capacità di risposta agli incidenti sono più deboli.

In pratica, questo significa che è necessario un monitoraggio 24x7.

Un piano di risposta

Il primo passo per rispondere a una minaccia ransomware è individuare l'avversario nel vostro ambiente. È altrettanto fondamentale sapere cosa fare in vari scenari per fermare l'attacco. Fino a che punto siete disposti a spingervi? In uno dei nostri impegni, l'aggressore è arrivato fino all'amministratore del dominio sul controller di dominio e il team di sicurezza ha dovuto decidere in una frazione di secondo di disconnettere completamente i sistemi da Internet per guadagnare tempo per la risposta. Fortunatamente ha funzionato.

Per quanto il team sia stato vicino a un attacco ransomware, questo scenario non è poi così raro. Vale la pena chiedersi: se la vostra organizzazione si trovasse nella stessa situazione, cosa fareste? Questo livello di interruzione sarebbe accettabile per l'azienda? Sareste in grado di rispondere efficacemente senza connettività per il vostro personale di sicurezza remoto? Ci sono altre opzioni di risposta che dovreste acquistare?

Abbiamo visto che un'azione rapida e decisa sotto pressione è un ingrediente fondamentale per una risposta di successo. Conoscere e mettere in pratica il proprio piano di gioco prima che sia necessario potrebbe fare la differenza.

Per fermare il ransomware, non cercate il ransomware

I moderni attacchi ransomware (in realtà ransomOps) non distribuiscono il binario del ransomware fino alla fine dell'attacco. Ciò significa che se vedete il ransomware stesso, molto probabilmente sarà troppo tardi.

Si tratta di un'idea sbagliata comune, perché per bloccare questi attacchi in corso, è necessario rilevare e rispondere alle fasi che precedono la distribuzione del ransomware. La realtà è che quasi certamente opererete senza conoscere appieno l'avversario o il suo scopo. In molti casi, vedrete un attacco in rapida progressione e, potenzialmente, alcuni segni rivelatori negli strumenti o nell'infrastruttura C2 che vi permetteranno di fare un'ipotesi su ciò che sta accadendo.

In questo caso, i vostri piani di risposta dovranno concentrarsi su una classe più generale di intrusioni e sulla progressione degli attacchi, comprendendo che il gioco finale è solo una probabilità e non una certezza.

Gli account e gli strumenti di amministrazione sono fondamentali

Abbiamo osservato gli exploit utilizzati per ottenere l'accesso iniziale e, occasionalmente, per spostarsi lateralmente. Ma, come nella maggior parte degli attacchi moderni, l'attenzione si concentra sulle credenziali - account di amministrazione e di servizio. In combinazione con i protocolli di amministrazione, queste sono le tattiche preferite da quasi tutti i ransomware affiliati.

L'intento, come in molti attacchi, è quello di raggiungere l'amministratore del dominio sul controller di dominio per lanciare la fase finale dell'attacco. Da questo punto di vista, è facile ottenere l'accesso ai dati più preziosi. È anche possibile distribuire il ransomware in modo estremamente rapido, utilizzando strumenti di amministrazione come GPO.

A causa dell'attenzione alle credenziali, è assolutamente fondamentale monitorare attentamente l'uso di tutti gli account privilegiati, poiché abbiamo visto che questo è uno dei segnali di rilevamento degli attacchi più preziosi.

Comportamento comune dei ransomware

Gli analisti di Vectra hanno raccolto le sfide relative agli utenti, ai processi e alla sicurezza che erano comuni ai diversi impegni dei clienti.

Accesso iniziale

• Gli aggressori continuano a ricercare le vulnerabilità nei servizi e nei sistemi pubblicamente disponibili e rivolti a Internet.
• I server che eseguono RDP, FTP o VPN sono obiettivi popolari, in quanto forniscono l'accesso iniziale alle imprese e al cloud.
• La mancanza di AMF è una lacuna comunemente riscontrata.
• La progressione dell'attacco in alcuni casi ha richiesto ore dall'ingresso iniziale, mentre in altri casi ha richiesto giorni o addirittura settimane. I team di sicurezza hanno il tempo di rilevare e reagire tempestivamente, ma è necessaria una vigilanza 24 ore su 24, 7 giorni su 7.

Command and Control (C2)

• Il Cobalt Strike sembra essere lo strumento attualmente preferito.
• Anche i più diffusi strumenti di accesso remoto, indipendentemente dal fatto che fossero autorizzati o meno, sono stati utilizzati per controllare i sistemi. In un caso, abbiamo individuato il software Cisco AnyConnect utilizzato per controllare le macchine all'interno, da un umano all'esterno.

Movimento laterale e di ricognizione

• Nella maggior parte dei casi la scansione è stata aggressiva e ha incluso la mappatura della rete, le interrogazioni rDNS e l'enumerazione delle azioni. La scansione rapida ha generalmente reso visibili gli attacchi entro pochi minuti dall'accesso iniziale.
• Anche le ricognizioni relative alle credenziali, tra cui le interrogazioni LDAP e le chiamate RPC per mappare le posizioni delle credenziali, erano comuni.
• Il movimento laterale nelle prime fasi comprendeva exploit comuni. Le fasi successive si sono basate principalmente sulle credenziali e sui protocolli di amministrazione.

Esfiltrazione

• I siti di fileshare gratuiti erano comunemente utilizzati per caricare informazioni di ricognizione da analizzare. Tra questi, Mega Upload (mega.com) e temp.sh.

Raccomandazioni per la prevenzione, il rilevamento e la risposta al ransomware

I nostri team lavorano quotidianamente a stretto contatto con i team di sicurezza, rispondendo agli avvisi critici generati dalle soluzioni di rilevamento e risposta alle minacceVectra AI. Quando ci confrontiamo inizialmente con i clienti, non è ovvio che una minaccia sia un ransomware. Man mano che gli avvisi aumentano di gravità, siamo in grado di ottenere maggiore chiarezza e contesto sull'attacco e di determinare se si tratta effettivamente di ransomware. Abbiamo individuato una serie di strumenti e pratiche di sicurezza che rendono più difficile per gli avversari portare a termine campagne ransomware di successo e, in ultima analisi, bloccarle con certezza. Questo include.

Prevenzione

• Valutate regolarmente la vostra posizione di sicurezza esterna e implementate le correzioni ad alta priorità. Concentratevi in particolare sull'infrastruttura di accesso remoto e sui servizi comunemente vulnerabili come RDP e FTP, che si sono dimostrati bersagli popolari.
• Abilitare l'MFA, ove possibile, su qualsiasi fornitore di identità o infrastruttura di accesso remoto.
• In generale, forti controlli preventivi, regole e criteri rendono più difficile l'escalation dei privilegi anche dopo l'accesso, il che consente di guadagnare tempo per la risposta.
• Un'area particolare di attenzione è quella degli account privilegiati. Sebbene sia impegnativo dal punto di vista operativo, più si può fare per concentrare l'uso attraverso server di salto e sistemi di gestione degli account privilegiati, più difficile sarà il percorso di escalation.

Rilevamento

• C'è tempo per fermare l'attacco dopo che l'attore del ransomware ha ottenuto l'accesso e prima che i dati vengano esfiltrati o il ransomware venga distribuito.
• Investite nel rilevamento e nella risposta alle minacce in tutta la rete, l'infrastruttura di identità, il cloud e gli endpoint per massimizzare le probabilità di rilevamento precoce.

Indagine e risposta

• Gli attacchi ransomware possono progredire rapidamente, a qualsiasi ora del giorno e della notte. È fondamentale assicurarsi di monitorare gli avvisi critici 24 ore su 24, 7 giorni su 7, 365 giorni su 365, sia aumentando i team interni che sfruttando le offerte di rilevamento e risposta gestita (MDR) o MSSP.
• L'integrazione della telemetria dai registri di rete, endpoint e cloud fornisce il contesto, la chiarezza e l'arricchimento migliori per indagare sulle minacce e arrivare a una causa principale definita.
• L'analisi dell'aumento dell'attività di scansione della DMZ prima dell'accesso iniziale, in combinazione con l'OSINT, può fornire una valutazione precoce del probabile attore della minaccia e fornire una risposta più chiara.