Quando parliamo di attacco ransomware non facciamo riferimento ad una semplice “infezione” da malware. Tale tipologia di attacco consiste in una complessa serie di azioni in cui l'infezione iniziale è solo il primo passo.
Un attacco ransomware di successo molto spesso coinvolge molteplici vettori di attacco, solitamente guidati dall’intervento umano. Far fronte a un attacco del genere richiede l’implementazione di una soluzione in grado di neutralizzare l'intera gamma di minacce proveniente da questi vettori.
Di recente, Microsoft ha pubblicato un report dettagliato che descrive il funzionamento delle complesse varianti ransomware, guidate manualmente dai criminali informatici.
Ecco alcune caratteristiche in comune delle diverse varianti di attacco:
- l’attacco inizia con tipologie di malware non sofisticate che possono far attivare più alert, ma tendono ad essere considerati non importanti e non sono analizzati a fondo;
- possono rilasciare più varianti di malware fino a quando una di esse non viene rilevata dal software antivirus;
- possono attaccare i server che hanno il protocollo RDP (Remote Desktop Protocol) configurato come esposto a internet e forzare gli accessi per entrare nella rete aziendale;
- una volta all’interno, sorvegliano la rete;
- possono sfruttare altre modalità per appropriarsi delle credenziali e ottenere privilegi da admin;
- possono eseguire script PowerShell collegandosi a un server di comando e controllo, consentendo un controllo persistente su altre macchine;
- sono in grado di arrestare Exchange Server, SQL Server e altri servizi simili che possono bloccare determinati file in modo che non possano essere crittografati;
- possono introdurre file binari legittimi e utilizzare flussi di dati alternativi per camuffare l'esecuzione del codice ransomware come codice legittimo.
Tecniche Ransomware
L’esecuzione del payload del ransomware al massimo livello di privilegio con il minor numero di ostacoli è l'obiettivo finale del criminale informatico. Spesso gli aggressori disabilitano o crittografano i sistemi di backup online che quindi non possono essere utilizzati per recuperare i dati crittografati nell'attacco ransomware.
Alcune varianti di ransomware si appropriano di dati sensibili con l'obiettivo di minacciare la vittima con l'esposizione dei dati se il riscatto non viene pagato.
Altre tecniche di ransomware includono il codice polimorfico, un codice che si modifica costantemente per evitare il rilevamento oppure lo sfruttamento di strategie fileless per infettare macchine.
Lo Step Successivo nell’Evoluzione della Sicurezza: Piattaforma EPP
I sistemi antivirus basati sulle firme sono totalmente inefficaci per respingere gli attacchi ransomware. Una piattaforma di endpoint protection (EPP) è l’evoluzione nella scala di protezione dei dispositivi.
Una piattaforma EPP è un insieme di strumenti e tecnologie software che consentono la protezione dei dispositivi endpoint. È una soluzione di sicurezza unificata che combina diversi elementi come antivirus, antispyware, rilevamento/prevenzione delle minacce, un firewall personale e altre soluzioni di protezione degli endpoint.
Sebbene alcune soluzioni EPP includano funzionalità di threat intelligence e data analytics, a volte mancano di funzionalità come la capacità di analizzare la memoria, che consentirebbe il rilevamento di attacchi presenti in memoria, o sistemi binari operativi esistenti (come PowerShell), che potrebbero rilevare attacchi LOL "Living-Off-the-Land” che compromettono funzioni del sistema operativo.
Una piattaforma EPP è una soluzione che fornisce un perimetro difensivo intorno all'organizzazione, su tutti gli endpoint che rappresentano potenziali canali di accesso per il malware. Anche un solo punto di accesso non monitorato può essere sfruttato per entrare all’interno della rete.
Una delle conseguenze dell’implementazione di una piattaforma EPP, tuttavia, è la generazione di una quantità ingente di dati dagli endpoint, che devono essere analizzati al fine di rilevare gli hit generati anche da un processo di rilevamento basato su firma.
Inoltre, all'aumentare delle dimensioni dell’azienda, l’entità dei dati generati aumenta esponenzialmente.
Risoluzione del Problema: Piattaforma EDR
Come sottolineato dal NIST Cybersecurity Framework, un sistema basato su firme non sarà in grado di analizzare il contesto di un attacco e attivare un alert se si presenta un modello, piuttosto che ripetuti tentativi di accesso ad un account, soprattutto su molteplici endpoint, che può indicare quindi un tentativo di attacco forzato.
Ma man mano che gli attacchi diventano più sofisticati, la modalità in cui le soluzioni per la sicurezza implementano le proprie capacità analitiche può diventare un problema.
In termini di volume, uno studio dell'Università del Maryland ha stimato che nel 2007 si sono verificati attacchi ogni 39 secondi, un volume che è senza dubbio aumentato.
Sia le soluzioni basate su cloud che quelle che coinvolgono un database centrale possono presentare colli di bottiglia e ritardi nell'attivazione di alert, che potrebbero offrire ai criminali informatici vantaggi critici nello stabilirsi all'interno delle reti.
Gli attacchi sono sempre più sofisticati, con alcune evidenti indicazioni che i criminali informatici stanno iniziando a sfruttare l'intelligenza artificiale.
Le soluzioni più efficaci e avanzate sono le soluzioni active EDR, basate su intelligenza artificiale e machine learning (AI/ML).
Queste soluzioni analizzano i dati dell’endpoint, sfruttando metodi avanzati di applicazione di data science in tempo reale, con un sovraccarico minimo delle prestazioni. Un altro vantaggio delle soluzioni active EDR è la risposta autonoma, quindi la capacità di rispondere rapidamente alle minacce.
L'utilizzo dell'intelligenza artificiale consente alla soluzione di rispondere a un attacco ransomware prima che il malware possa crittografare i dati, molto più rapidamente di quanto un essere umano possa rispondere ad un alert.
In Conclusione
Concentrandosi sul comportamento piuttosto che sulla conformità a una firma, l’active EDR è in grado di rilevare processi che indicano attività sospette per isolarli prima che possano diffondersi.
L’active EDR automatizza anche l'analisi delle attività per fornire un contesto all'analyst, riducendo la quantità di dati generati rispetto ad una soluzione EPP.
La tecnologia active EDR ha dimostrato di essere efficace contro le varianti di ransomware più sofisticate utilizzate dai criminali informatici.
SentinelOne è l'unica soluzione che offre prevenzione, rilevamento, risposta, remediation ed analisi forense in un'unica piattaforma. Con SentinelOne puoi contrastare automaticamente qualsiasi tipo di attacco da fonti note o sconosciute grazie a potenti sistemi di machine learning ed intelligenza artificiale.
Se vuoi scoprire di più sulla piattaforma EDR SentinelOne invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.
