Di recente abbiamo definito questa estate come l’estate del crimine informatico. I principali attacchi ransomware continuano a colpire le aziende a livello globale e gli attacchi possono causare danni significativi, dal punto di vista finanziario, della reputazione e della produttività. Nella maggior parte dei casi, gli attacchi potrebbero essere fermati seguendo quelli che sono i processi e le azioni da intraprendere per avere una postura di sicurezza aziendale in linea con le best practice del settore. Questa è la chiave per fermare la crescente tendenza di attacchi ransomware moderni e di successo.
Gli attacchi ransomware moderni
Il ransomware moderno sfrutta un’ampia gamma di strumenti e tattiche per navigare nell’infrastruttura aziendale e trovare i “gioielli della corona”. Spesso, il punto di ingresso iniziale è rappresentato da vulnerabilità note che non sono state corrette. Uno degli ultimi attacchi a livello globale ha infatti utilizzato vulnerabilità già conosciute del software Kaseya, oltre a vulnerabilità 0-Day. Sebbene questo sia sempre più raro, gli attacchi che utilizzano nuovi bug possono ancora essere fermati. Indipendentemente da come gli aggressori penetrano l’infrastruttura aziendale, esistono diverse metodologie con cui gli attacchi possono essere individuati e fermati, prima che arrivino al punto di crittografare i dati e chiedere un riscatto.
Queste sono le possibili conseguenze degli attacchi ransomware di oggi:
Il ransomware crittografa i file e poi rilascia una richiesta di riscatto con pagamento in bitcoin
Doppia estorsione: ransomware + esfiltrazione di dati. In questo caso se l’utente colpito non paga il riscatto rischia di vedere i propri dati resi pubblici. Maze è stato il primo caso documentato ma altri gruppi cybercriminali hanno seguito l’esempio, come visto di recente nell’attacco a Colonial Pipeline
Triplice estorsione. Doppia Estorsione + minaccia di un attacco DDoS. Avaddon è stato il primo caso documentato
Estorsione quadrupla. Ransomware + (Possibile Esfiltrazione di dati o DDoS) + invio diretto di e-mail alla base clienti della vittima. Cl0p è stato il primo caso documentato, come descritto da Brian Krebs
Fermare gli attacchi grazie a una corretta igiene della sicurezza
Gli attacchi multi-estorsione possono essere fermati sfruttando le soluzioni di sicurezza, ma è importante avere una profonda conoscenza della problematica per poter individuare quelli che sono i segnali iniziali. Questa è una lotta quotidiana per molte aziende, che potrebbe essere risolta facendo in modo che un partner di sicurezza gestisca con personale specializzato l’infrastruttura di sicurezza.
In ogni caso esistono alcune azioni che dovrebbero essere attivate rapidamente come parte delle migliori pratiche di sicurezza dell’organizzazione, per mitigare il rischio portato dagli attacchi:
Abilitare il monitoraggio del comportamento e il machine learning con le configurazioni consigliate. Ciò impedisce ai client di aver bisogno di aggiornamenti o nuovi rilevamenti quando viene scoperto un importante evento, come l’attacco Kaseya
Mantenere un solido piano di gestione delle patch. Questo protegge dalle vulnerabilità note applicando gli aggiornamenti disponibili. Le patch virtuali possono anche coprire il periodo fino a quando la patch ufficiale non è disponibile o applicata
Utilizzare l’autenticazione a più fattori o a 2 fattori per gli account amministrativi critici, in particolare nei sistemi pubblici. Questo rende più difficile per gli aggressori abusare di credenziali compromesse per ottenere l’accesso al sistema
Praticare la regola di backup 3-2-1. Se si verifica un attacco ransomware di successo, è fondamentale mantenere almeno tre copie dei dati aziendali in due formati diversi, con una copia air gap posizionata fuori sede. Ciò garantisce di poter ripristinare le funzionalità senza dover pagare il riscatto per decrittografare i file.
Queste non sono ovviamente le uniche azioni di sicurezza che aiutano a proteggere le aziende, ma sono quelle che prevengono i punti di ingresso più comuni negli attacchi ransomware di oggi. Avere tutta la potenza di una soluzione di sicurezza attivata e ottimizzata per il proprio ambiente elimina le crepe e le lacune e ferma l’attacco subito. Le capacità di monitoraggio comportamentale e di machine learning di Trend Micro, per esempio, hanno identificato il componente ransomware dell’incidente Kaseya. Questo significa che i clienti Trend Micro erano protetti prima che l’attacco fosse noto. Inoltre, Trend Micro è perfettamente in grado di gestire la security di quelle aziende che non hanno le risorse per mantenere il proprio stack di sicurezza. Questo garantisce il più alto livello di protezione disponibile.
A cura di Gastone Nencini, Country Manager Trend Micro Italia