La prevenzione degli attacchi ransomware è una priorità per tutti, dagli amministratori IT, ai CISO, ai CEO, ai governi. E sebbene non sia un problema nuovo, una serie incessante di attacchi ransomware di successo e devastanti ha orientato nuovamente l'attenzione del mondo su di esso.
Allo stesso tempo, le minacce informatiche diventano sempre più sofisticate di giorno in giorno, rendendo più che mai fondamentale per le aziende sviluppare una strategia di prevenzione e protezione completa, prima che si verifichino danni irreparabili.
Ransomware – Minaccia Forte e Senza Fine
Nel marzo 2021, un attacco ransomware al sistema della Buffalo Public School di New York ha causato la chiusura del distretto per una settimana. Quel mese, anche un produttore di PC con sede a Taiwan è stato attaccato e i criminali informatici hanno chiesto un riscatto di $ 50 milioni.
CNA, una delle più grandi compagnie assicurative degli Stati Uniti, è stata colpita da un attacco ransomware e, secondo Bloomberg, ha pagato un riscatto di 40 milioni di dollari ai suoi ricattatori. Tutti i sistemi IT della sanità pubblica irlandese sono stati chiusi a seguito di un attacco ransomware che ha causato una grave interruzione dei servizi sanitari.
Questa tendenza è continuata, con l'attacco alla Colonial Pipeline che ha interrotto la fornitura di carburante a gran parte della costa orientale degli Stati Uniti per diversi giorni mentre su JBS, un importante produttore di carne bovina degli Stati Uniti, ha interrotto le operazioni per alcuni giorni. L'elenco potrebbe continuare.
In risposta a questa ondata senza precedenti di attacchi ransomware, il governo degli Stati Uniti ha emesso un ordine esecutivo sul miglioramento della sicurezza informatica della nazione e una task force è stata costituita per sviluppare una risposta completa ai dilaganti attacchi ransomware alle imprese e alle istituzioni degli Stati Uniti.
La risposta include lo sviluppo di capacità per identificare, dissuadere, proteggere, rilevare e rispondere agli attacchi ransomware. Le contromisure includono tattiche come interrompere attivamente le operazioni responsabili di attacchi ransomware, affrontare l'uso della criptovaluta per pagare il riscatto e imporre approcci di sicurezza migliori per contrastare gli attacchi, inclusa l'adozione dell'architettura Zero Trust.
In che Modo gli Hacker Ottengono l'Accesso Iniziale
Per prevenire un attacco ransomware e la maggior parte degli altri attacchi malware, i difensori devono evitare i tentativi degli aggressori di stabilire un punto d'appoggio sulla rete.
Pertanto, la sicurezza degli endpoint, la prevenzione, il rilevamento e la remediation diventano parte di una strategia cruciale.
In generale, chi attacca utilizza una delle seguenti tattiche per ottenere l'accesso iniziale ad una rete:
- Sfruttare con successo una vulnerabilità nella rete della vittima - Sfruttare una vulnerabilità significa trovare un difetto o un bug del software che può essere manipolato per distribuire codice dannoso o scoprire una configurazione errata che fornirà a un utente malintenzionato un punto di ingresso per distribuire il codice. Tali vulnerabilità possono verificarsi attraverso una configurazione errata delle risorse cloud, ad esempio, o tramite dipendenze di terze parti.
- Ottenere l'accesso non autorizzato a un account valido -L'accesso non autorizzato a un account valido si ottiene impossessandosi delle credenziali di un account utente tramite il social engineering.
I team di sicurezza IT, gravati da suite di sicurezza legacy e vecchie strategie, stanno lottando per mantenere i loro dati al sicuro in un mondo in cui gli attacchi ransomware stanno proliferando attraverso una più facile accessibilità.
Senza cambiare il loro approccio, gli aggressori continueranno a trovare vulnerabilità da sfruttare e utenti da ingannare.
Prevenire Compromissioni Attraverso un Approccio a Più Livelli
L'identità di nuova generazione e la protezione degli endpoint basata sull'intelligenza artificiale offrono una soluzione migliore contro il ransomware.
Le soluzioni tradizionali di precedenti generazioni, come l'autenticazione basata su password o la protezione degli endpoint basata sulle firme AV, presentano gravi carenze nel bloccare il ransomware moderno.
Poiché lo scopo della prevenzione è fermare l'infiltrazione iniziale, analizziamo nello specifico come queste moderne soluzioni di sicurezza possono offrire nuove armi nella lotta contro il ransomware.
Tattica #1: Implementare l'Autenticazione Utente Resistente agli Attacchi
Molti attacchi ransomware di successo ottengono il loro punto d'appoggio iniziale sulla rete della vittima decifrando o sottraendo le credenziali appartenenti a un account valido. Per prevenire efficacemente ciò, sono necessarie solide credenziali di autenticazione dell'utente, difficili da indovinare, violare o rubare.
Nell'attacco riuscito all'inizio di quest'anno a Colonial Pipeline, ad esempio, l'accesso a un account valido ha permesso agli aggressori di entrare all’interno dell’infrastruttura di rete.
Allo stesso modo, il punto di ingresso dell'attacco per MAZE e altri ransomware gestiti da un utente è spesso una password rubata a un sistema connesso a Internet a cui si accede tramite RDP o l'accesso a un account del portale Web Citrix con una password debole.
Gli approcci tradizionali di autenticazione a più fattori (MFA) aiutano ad affrontare le vulnerabilità di sicurezza inerenti le password, ma si basano ancora fondamentalmente su qualcosa che un utente deve ricordare e conoscere e gli approcci basati sul telefono non sono sicuri al 100%.
L'autenticazione a più fattori senza password impedisce il furto di credenziali e rende impossibile per gli aggressori impossessarsi della password. L'autenticazione a più fattori senza password utilizza più fattori di autenticazione, ma esclude le password tradizionali.
I fattori di autenticazione più comunemente utilizzati sono il dispositivo mobile registrato dell'utente, insieme a un PIN o un'impronta digitale tramite il sensore integrato nel dispositivo. Eliminando la necessità di password tradizionali, la sicurezza viene immediatamente e intrinsecamente migliorata, l'esperienza dell'utente è semplificata e i costi sono contenuti.
Tattica #2. Rilevamento, Quarantena e Rimozione Immediati di Ransomware
Realisticamente, l'adozione di misure preventive non garantisce che gli aggressori non penetrino mai nel perimetro e non ottengano l'accesso al dispositivo di un utente. La migliore linea di difesa è un meccanismo di protezione, rilevamento e risposta autonomo e veloce, in grado di rilevare e contenere attività sospette a livello di endpoint, prima che si verifichino perdite di dati a valle, perdite finanziarie o investimenti di tempo.
Le moderne soluzioni XDR (Extended Detection & Response) monitorano i processi locali in tempo reale e analizzano i loro comportamenti in dettaglio, consentendo di identificare il codice dannoso con una specificità molto elevata e di adottare misure di mitigazione immediate.
In questo modo, l'attacco viene interrotto nel momento in cui inizia, prima che gli aggressori possano accedere agli obiettivi premeditati, sia che vengano eseguiti dalla memoria locale sia in remoto.
Da un punto di vista tecnico, le opzioni per la mitigazione variano: il sistema può eliminare l'origine del codice, interrompere tutti i processi rilevanti, mettere in quarantena i file sospetti o disconnettere completamente l'endpoint interessato dalla rete, a seconda delle circostanze e delle policy organizzative.
Fermare un attacco in corso è il compito più importante di qualsiasi soluzione XDR, ma il suo ruolo non si ferma qui. Dopo aver adottato misure critiche per fermare un attacco in corso, i team IT e di sicurezza devono ottenere una visione forense dettagliata che includa una cronologia dell'attività del malware, il suo punto di ingresso e vettore di attacco e un elenco di tutti i file e le reti interessati.
Gli amministratori possono quindi analizzare l'attacco per prepararsi meglio alle minacce future e fornire tutti i dati rilevanti ai propri superiori.
Tattica #3 - Rollback delle Modifiche dal Ransomware
Il terzo elemento di questo approccio a più livelli, e forse il più cruciale per chi è colpito dal ransomware, è la capacità di ripristinare tutte le risorse e le configurazioni al loro stato originale prima dell'attacco. Questo passaggio fondamentale consente un ripristino rapido e garantisce la completa continuità aziendale, indipendentemente dalla portata e dalla profondità dell'attacco.
I malware precedentemente sconosciuti o le nuove tattiche di attacco potrebbero non essere rilevati e bloccati automaticamente dal componente di rilevamento, quindi annullare le sue azioni è l'unica protezione rimasta. Inoltre, il pericolo non si limita ai file crittografati o eliminati.
Il malware può anche modificare le autorizzazioni di accesso e le configurazioni di sicurezza che possono essere sfruttate in attacchi successivi.
Tali attacchi in più fasi sono comunemente impiegati e prendono di mira le reti aziendali e le infrastrutture pubbliche e rappresentano una minaccia particolarmente pericolosa.
In queste campagne a lungo termine, la prima fase è spesso intesa “solo per piantare i semi” per una più facile esecuzione di attacchi in date specifiche come festività o eventi aziendali importanti. In questo modo, gli aggressori sorprendono le loro vittime e traggono vantaggio dalla loro mancanza di preparazione, non lasciando loro altra scelta che pagare l'intero importo del riscatto.
La reversione automatica di tutte le modifiche eseguite da codici dannosi o sospetti, non importa quanto piccole, offre agli amministratori una rete sicura, proteggendo loro e l'intero dominio dalle terribili conseguenze di attacchi informatici di successo.
Un Ampio Stack di Sicurezza per la Prevenzione del Ransomware
In sintesi, l'obiettivo chiave per gli Architect della sicurezza informatica e i difensori delle reti aziendali è la prevenzione e, quando si tratta di ransomware, la prevenzione consiste nel negare agli aggressori l'accesso iniziale a qualsiasi parte dell'azienda.
Una strategia completa include la resistenza agli attacchi all’autenticazione dell'utente, il rilevamento e la rimozione immediata delle minacce e, infine, il rollback di tutte le azioni intraprese dagli hacker e dal malware in caso di attacchi non rilevabili.
Tutto inizia con l'endpoint e le capacità di sicurezza intrinseche dell’endpoint stesso. ThinkShield di Lenovo incorpora la sicurezza della supply chain e le funzionalità di sicurezza al di sotto del sistema operativo con SentinelOne e Secret Double Octopus che hanno collaborato con Lenovo per offrire un approccio multilivello alla sicurezza del ransomware e proteggere meglio le aziende.
La principale piattaforma XDR di SentinelOne, Singularity™, agisce in tempo reale per interrompere la distribuzione di ransomware sugli endpoint degli utenti finali e dei carichi di lavoro cloud.
La piattaforma Passwordless Enterprise di Double Octopus rende impossibile per gli aggressori utilizzare credenziali forzate o rubate per ottenere un punto d'appoggio sulla rete rimuovendo la dipendenza dalle password.
La combinazione fornisce una soluzione congiunta altamente convincente che può rafforzare la strategia di difesa della superficie di attacco all’interno della tua organizzazione.
Interessato a saperne di più? Se vuoi avere maggiori informazioni riguardo la piattaforma SentinelOne invia una mail a cio@florence-consulting.it, chiama lo (055) 538-3250, oppure compila il form sottostante.