Concentrare gli sforzi difensivi in aree chiave e agire rapidamente può permettere alle organizzazioni di bloccare il ransomware prima che questo venga distribuito. È il suggerimento che emerge dalla ricerca di Mandiant Intelligence riguarda alla quale FireEye ha recentemente reso noti i risultati.
Il ransomware viene utilizzato per un’attività di estorsione, digitale e a distanza. È dirompente e costoso e colpisce tutte le tipologie di organizzazioni, dalle aziende che si occupano di tecnologia spaziale all’avanguardia, all’industria della lana, agli ambienti industriali. Alcune infezioni subite, ad esempio, hanno costretto gli ospedali ad allontanare i pazienti e le forze dell’ordine ad abbandonare casi giudiziari contro alcuni spacciatori. Gli esecutori dei ransomware hanno recentemente iniziato a combinare la crittografia unitamente alla minaccia di rendere noti alcuni dati trafugati così da aumentare la leva contro le vittime.
“Mandiant Intelligence – ha dichiarato Gabriele Zanoni, EMEA Solutions Architect di FireEye – ha esaminato decine di attività di incident response di ransomware tra il 2017 e il 2019 e attraverso questa ricerca siamo riusciti a identificare una serie di caratteristiche comuni presenti nei vettori di intrusione iniziale. Abbiamo rilevato le innovazioni tattiche degli attori della minaccia per massimizzare i profitti con gli incidenti che hanno colpito aziende in Nord America, Europa, Asia-Pacifico e Medio Oriente in quasi tutti i settori, inclusi quello finanziario, prodotti chimici e materiali, servizi legali e professionali, istituzioni governative locali e sanità”.
FireEye ha, inoltre, rilevato intrusioni attribuite a gruppi motivati finanziariamente come FIN6, TEMP.MixMaster e decine di altre attività.
Questi incidenti forniscono una migliore comprensione dei trend dell’utilizzo dei ransomware che possono essere utili per chi difende i network delle organizzazioni. Le indagini di Mandiant sui ransomware, nel periodo che va dal 2017 al 2019, sono aumentare dell’860%. La maggior parte di questi incidenti sembra essere stata causata da infezioni post compromissione e FireEye ritiene che gli attori della minaccia stiano incrementando l’utilizzo di tattiche, compreso l’impiego post compromissione, per aumentare la possibilità che il riscatto venga pagato.
“Abbiamo osservato incidenti in cui il riscatto è stato pagato immediatamente, ad esempio gli incidenti GANDCRAB and GLOBEIMPOSTER, ma la maggior parte delle intrusioni hanno avuto una durata maggiore e implementazioni più complesse a seguito della compromissione” ha aggiunto Zanoni.
Ransomware, ecco i vettori comuni di infezione iniziale
FireEye ha notato diversi vettori di infezione iniziale attraverso molteplici incidenti di ransomware, tra cui RDP (Remote Desktop Protocol), phishing con un link o un allegato dannoso e drive by download di malware che facilita l’attività di follow up. L’RDP è stato rilevato con maggiore frequenza nel 2017 ma è diminuito nel corso del 2018 e del 2019. Questi vettori dimostrano che il ransomware ha la possibilità di entrare negli ambienti delle vittime con differenti mezzi e non tutti richiedono l’interazione dell’utente.
La maggior parte delle distribuzioni di ransomware avviene tre o più giorni dopo l’infezione iniziale
Il numero di giorni intercorsi tra la prima prova di un’attività dannosa e la diffusione del ransomware variava da zero a 299 giorni. I tempi di permanenza variano e nella maggior parte dei casi è presente un intervallo di tempo tra il primo accesso e la distribuzione del ransomware. Per il 75% degli incidenti, sono passati almeno tre giorni tra la prima prova di un’attività dannosa e l’impiego del ransomware.
Questo suggerisce che per molte organizzazioni, se le infezioni iniziali sono rilevate, contenute e rimediate rapidamente, i danni significativi e i costi associati a un’infezione da riscatto potrebbero essere evitati. In alcuni casi gli incident responder di Mandiant e FireEye Managed Defense hanno contenuto e corretto l’attività malevola, impedendo l’impiego del ransomware. Diverse indagini hanno scoperto prove di ransomware installati negli ambienti delle vittime ma non ancora eseguiti con successo.
Il ransomware è utilizzato il più delle volte oltre l’orario di lavoro
Nel 76% degli incidenti che FireEye ha esaminato, il ransomware è stato eseguito negli ambienti delle vittime non durante l’orario di lavoro, nel fine settimana o prima delle 8:00 o dopo le 18:00 di un giorno feriale, utilizzando il fuso orario e la consueta settimana lavorativa dell’organizzazione della vittima.
“Alcuni attaccanti – ha continuato Zanoni – potrebbero impiegare intenzionalmente il ransomware dopo l’orario di lavoro, nei weekend o durante le vacanze, per massimizzare l’efficacia dell’operazione, partendo dal presupposto che gli sforzi di remediation di una violazione saranno attuati più lentamente di quanto non lo sarebbero durante il normale orario di lavoro. In altri casi, invece, gli aggressori hanno semplicemente collegato l’implementazione del ransomware alle azioni degli utenti”.
Nel 2019, per esempio, in alcuni casi che si sono verificati presso aziende retail e di servizi professionali, gli attaccanti hanno creato un Active Directory Group Policy Object per avviare l’esecuzione del ransomware in base al log-on e al log-off dell’utente.
Le organizzazioni che cercano di prevenire o mitigare gli effetti delle infezioni da ransomware potrebbero seguire i seguenti step: indirizzare i vettori di infezione, implementare le best practice e stabilire i piani di emergenza.
Il ransomware è dirompente e costoso. Le innovazioni degli attori della minaccia non hanno fatto altro che aumentare i danni potenziali delle infezioni da ransomware negli ultimi anni e questo trend non mostra alcun segno di rallentamento. FireEye ritiene che gli attori motivati finanziariamente continueranno a evolvere le loro tattiche per massimizzare il profitto generato dalle infezioni da ransomware.
FireEye prevede che le infezioni da ransomware post-compromissione continueranno ad aumentare e che gli aggressori abbineranno sempre di più la distribuzione di ransomware insieme ad altre tecniche, come il furto di dati e l’estorsione, l’aumento delle richieste di riscatto e il colpire obiettivi critici.
La buona notizia è che, in particolare con le infezioni post-compromissione, vi è spesso una finestra di tempo tra la prima azione malevola e la diffusione del ransomware. Se i difensori della rete sono in grado di individuare e rimediare rapidamente alla compromissione iniziale, è possibile evitare i danni e i costi significativi di un’infezione da ransomware.