Secondo il Verizon Data Breach Report 2020, il ransomware è il terzo attacco malware più frequente. Una prova recente di ciò si è avuta il 4 ottobre, quando Universal Health Services (UHS), un ospedale Fortune 500 e fornitore di servizi sanitari, ha dichiarato di aver interrotto i sistemi di diverse strutture sanitarie negli Stati Uniti dopo che un attacco informatico aveva colpito la sua rete interna.
Un attacco sanitario di qualsiasi tipo può essere letale, soprattutto se si considera lo stato attuale della pandemia. Si tratta di un altro recente attacco informatico che si conclude con la chiusura dell'infrastruttura informatica a causa di un attacco ransomware. In questo caso l'UHS sta reindirizzando alcuni pazienti verso ospedali vicini.
Tuttavia, molti non sanno che l'attivazione del ransomware è solo la fase finale di un attacco. Prima dell'esecuzione, ci sono molte fasi e opportunità per fermare l'attacco.
Ma cos'è esattamente il ransomware?
Il ransomware è un software dannoso progettato per impedire l'uso dei file del sistema informatico con la richiesta di pagare un riscatto. La maggior parte delle varianti di ransomware cripta i file sul dispositivo colpito, rendendoli indisponibili e richiedendo il pagamento di un riscatto per ripristinarne l'accesso.
Il codice del ransomware è spesso sofisticato, ma non è necessario che lo sia, perché a differenza di altre forme di malware convenzionale, in genere non ha bisogno di rimanere inosservato per molto tempo per raggiungere il suo obiettivo. Questa relativa facilità di implementazione, a fronte di un elevato potenziale di profitto, attrae sia gli attori sofisticati del crimine informatico sia quelli alle prime armi a gestire campagne di ransomware.
"Nel 7% dei thread sul ransomware trovati nei forum e nei market place criminali, è stato menzionato il "servizio", suggerendo che gli aggressori non hanno nemmeno bisogno di essere in grado di svolgere il lavoro da soli". - Rapporto 2020 sulle indagini sulle violazioni dei dati, pag. 16.
Il ransomeware è talmente diffuso che è possibile acquistare servizi che si occupano dell'implementazione per conto del criminale informatico. Con un mercato così fiorente, il ransomeware e i servizi di ransomeware sono destinati ad aumentare.
Come fa il ransomware a penetrare nella rete?
L'approccio più comune per la distribuzione di file dannosi da parte di un aggressore è lo sfruttamento di errori umani comuni come gli attacchi di phishing, in cui l'aggressore invia un'e-mail apparentemente legittima, ma che incoraggia la persona a fare clic su link o a scaricare un allegato. L'allegato spesso trasporta un payload che fornisce il software dannoso. Gli aggressori tendono a sfruttare le interfacce esposte, come RDP o le applicazioni Web prive di patch. Il ransomware viene consegnato anche su siti web compromessi o dannosi, tramite attacchi drive-by-download. Alcuni attacchi di ransomware sono stati inviati anche utilizzando la messaggistica dei social media.
Di solito il ransomware viene utilizzato con l'approccio "shotgun", in cui gli aggressori acquisiscono elenchi di e-mail o siti web compromessi e lanciano il ransomware.
Proteggersi dal ransomware
Durante il ciclo di vita dell'attacco esistono diverse fasi per bloccare il malware. La prima fase consiste nell'impedire l'ingresso nella rete; la seconda fase per fermare il ransomware (supponendo che non sia autonomo) consiste nell'impedirgli di comunicare con il server di comando e controllo (C2); la terza fase consiste nell'arrestarlo immediatamente dopo l'inizio dell'esecuzione e prima che si sposti lateralmente all'interno della rete.
La prima fase - impedire che il malware entri nella rete - è la più importante. Gli aggressori di solito cercano di utilizzare tecniche di phishing o di sfruttare connessioni di accesso remoto non protette, come connessioni RDP mal configurate e attraverso endpoint non conformi alle politiche aziendali. Questi dispositivi possono consentire al ransomware di sfruttare la connessione all'organizzazione di rete.
La seconda fase - non consentire al malware di comunicare con un C2 - viene solitamente realizzata implementando un FireWall e un sistema di rilevamento basato sulla rete per cercare le firme di rete.
La terza fase, che consiste nel bloccare l'attivazione e l'espansione del Ransomware nella rete, è a questo punto molto più complicata e richiede molte risorse.
OPSWAT offre soluzioni preventive per difendersi dagli attacchi. Le nostre soluzioni aiutano le organizzazioni a prevenire l'ingresso di malware nelle reti, come ad esempio la soluzione di sicurezza del gateway di posta elettronica per bloccare il phishing, la soluzione di accesso sicuro per contribuire alla convalida della conformità e la soluzione di sicurezza del gateway di posta elettronica.
che esegue Deep CDR (Content Disarm and Reconstruction) utilizzando il software di sicurezza per il caricamento dei file. MetaDefender Core. Questi sono solo alcuni dei molti prodotti che OPWAST offre per aiutare a mantenere le reti delle infrastrutture critiche al sicuro dal ransomware. Per ulteriori informazioni, contattateci oggi stesso.
Riferimenti
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
