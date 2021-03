Ransomware 3.0, l’evoluzione dello scenario più temuto dai Ciso Una minaccia che ormai ha diversi anni di storia alle spalle, ma non accenna a ridurre il proprio tasso di pericolosità. Andrew Rose, resident Ciso di Proofpoint ripercorre le fasi di sviluppo e lo scenario attuale. Pubblicato il 08 marzo 2021 da Redazione

Chiedete a qualsiasi Ciso cosa lo preoccupa di più e la risposta sarà sicuramente: il ransomware. Comprovata fonte di guadagno per i criminali informatici, parliamo di una minaccia che può essere devastante per le aziende: cancellando sistemi operativi, costando milioni di dollari per riprendersi, provocando un calo delle azioni e perdite di posti di lavoro.

Una breve storia

Il ransomware 1.0 ha preso il via con l'avvento delle criptovalute, permettendo ai criminali informatici di monetizzare anonimamente gli attacchi. In questa prima iterazione, il malware inviato in quantità massicce di e-mail dannose chiedeva il pagamento da qualsiasi macchina infettata. L’apice venne raggiunto nel maggio 2017 quando l’epidemia globale di WannaCry si avvalse di un meccanismo di attacco automatizzato per infettare centinaia di migliaia di macchine, seminando il panico in tutto il settore della sicurezza e colpendo infrastrutture nazionali critiche. Senza precedenti nella sua scala, WannaCry ha sottolineato il fatto che il ransomware era in grado di creare massicce opportunità di estorsione da parte di organizzazioni pubbliche e private.

L'incarnazione attuale, il ransomware 2.0, è un attacco più mirato e metodico. I criminali comprometteranno un singolo endpoint (via e-mail, desktop remoto o un dispositivo vulnerabile aperto a Internet come una Vpn), entreranno nella rete e tenteranno di nascondersi. Nel tempo aumenteranno i loro privilegi di accesso, identificheranno i dati di valore, esfiltreranno le informazioni, avveleneranno i backup e pianteranno il ransomware.

Quando il malware si scatena, la vittima ha poche possibilità di ricorso. L’opzione di non pagare è difficile perché i backup sono compromessi e, anche se si riesce a uscirne da soli, l’aggressore farà trapelare tutti i dati sensibili.

Le prossime fasi

Con l'accelerazione dell'adozione del cloud, in parte guidata dal Covid, le aziende fanno sempre più affidamento su sistemi di terze parti e archiviazione dei dati. Nel 2021, vedremo il ransomware evolversi per prendere di mira in modo più aggressivo l'infrastruttura in-the-cloud, utilizzandola come gateway di accesso alle identità aziendali o attaccando direttamente i dati memorizzati al suo interno. Questo modello di "ransomware 2.5" trascinerà le soluzioni SaaS nello spazio di attacco e amplierà il potenziale impatto e la leva criminale.

I progressi nei metodi di attacco, tuttavia, possono portare ulteriori rischi. Trickbot, un downloader collegato al ransomware, ha sperimentato la capacità di rimanere residente nel Bios di una macchina, persistendo dopo una reinstallazione del sistema operativo, ed essendo in grado di manomettere i controlli di base. Risiedendo a livello di Bios, il malware ha il potenziale di 'brickare' il dispositivo. Di conseguenza, gli autori possono aumentare (o cambiare) la leva di pagamento: dal rilascio pubblico di dati aziendali sensibili alla minaccia della semplice distruzione del dispositivo, imponendo così all'azienda di acquistare nuovo hardware prima di poter iniziare le attività di ripristino.

Il Ransomware 3.0, tuttavia, rappresenta un ulteriore sviluppo della catena di attacco, con la capacità di estendere le ripercussioni e creare un flusso di reddito a lungo termine per l'attaccante.

Si arriva al Ransomware 3.0

Esiste l'opportunità per i criminali di includere attacchi all'integrità come parte del loro ransomware. In molte realtà è questo l'aspetto più critico. Senza integrità, il servizio prenderà decisioni sbagliate, ognuna in grado di creare problemi di sicurezza: immaginate di gestire la prioritizzazione e la velocità dei treni credendo che i punti stiano dirigendo il traffico ferroviario in un certo modo, e non è così.

Come parte del loro percorso di attacco, non sarebbe un grande diversivo per il criminale avvelenare alcuni record affinché vengano poi assorbiti nella catena di backup.

In questo modo il criminale ha un'ulteriore leva, che potrebbe realizzarsi in due modi. Se un’azienda decide di non pagare il riscatto e di ripristinare il servizio senza l'"aiuto" dell'attaccante, potrebbe poi notare discrepanze in dati chiave che minerebbero il servizio. Se l'attaccante ha avvelenato i backup, l'azienda non sarà in grado di fidarsi dei propri sistemi/registri e dover pagare per conoscere gli errori introdotti. Per contro, se l'azienda paga il riscatto e recupera i propri dati, l'attaccante potrebbe comunque tornare e chiedere un ulteriore pagamento per evidenziare gli errori dei dati.

Quali azioni intraprendere?

Il ransomware è un vettore di attacco pericoloso e i professionisti della sicurezza hanno ragione a considerarlo una vera preoccupazione. Nelle parole di Wopr dal film 'Wargames', "l'unica mossa vincente è non giocare". Per questo, è più vitale che mai che i Ciso prendano ogni misura per evitare un tale attacco.

Lasciare i gateway Vpn senza patch è un invito ai guai; lo stesso vale per le connessioni Rdp o qualsiasi gateway aperto a Internet. Assicuratevi che le patch perimetrali e il controllo siano completi e monitorati quotidianamente. Occorre poi prevenire gli attacchi di malware/downloader assicurandosi che sia l'igiene delle e-mail sia la formazione sulla consapevolezza della sicurezza siano i migliori possibili. È da qui che ha origine la maggior parte degli attacchi.

Il furto e l'uso improprio delle credenziali sono punti di partenza universali per gli aggressori. Da lì, possono lanciare attacchi di Business Email Compromise (Bec) e Email Account Compromise (Eac), così come rubare dati o manomettere i record e piazzare ransomware. La compromissione delle credenziali è il primo segno che l’organizzazione è sotto attacco, quindi attenzione a questo vettore di attacco.

Il fascino dei backup istantanei quasi in linea, poi, ha portato molte aziende ad abbandonare le versioni offline, il che significa che gli aggressori con credenziali rubate potrebbero manomettere o avvelenare i sistemi di backup. È consigliabile considerare alternative offline.

Le grandi aziende tecnologiche ora elaborano analisi sui movimenti dei dati, permettendo di identificare minimi cambiamenti di dati nel tempo. Questo può passare inosservato durante un attacco, ma offre un modo per identificare un percorso di ritorno alla piena integrità dei dati. Inoltre, se non esiste in azienda un playbook di risposta al ransomware, questa deve essere la priorità numero uno. Come è possibile avere fiducia nell'integrità dei dati se non ci si può fidare dei backup?

Infine, garantire la sicurezza dei sistemi critici può significare investire in un'infrastruttura interamente parallela, ma scollegata, che fornisca il backup in caso di guasto del sistema primario. Non è economico, ma può essere uno strumento fondamentale per assicurare continuità del servizio in caso di attacco.

Andrew Rose, Resident Ciso di Proofpoint