Tecnologia
Prodotti
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Blog
Risorse
Azienda

9 fasi di un attacco ransomware: come l’AI risponde a ogni fase

Dan Fein, VP of Product | giovedì 23 dicembre 2021

Il nome ransomware deriva dalle attività di acquisizione e “sequestro” di risorse, con la richiesta di pagamento di un riscatto (ransom) in cambio della riservatezza e della completa collaborazione nella restituzione dei dati esfiltrati e nella fornitura delle chiavi di decrittazione per consentire la ripresa delle normali attività aziendali.

Gli importi medi relativi alle richieste di riscatto sono schizzati alle stelle, arrivando a 5,3 milioni di dollari nel 2021, pari a un aumento del 518% rispetto all’anno precedente. Ma i costi relativi al ripristino in seguito a un attacco ransomware sono solitamente maggiori dell’importo del riscatto stesso: i tempi medi di inattività successivi a un attacco ransomware sono 21 giorni; e il 66% delle vittime di un attacco ransomware segnalano una perdita significativa di ricavi a seguito di un attacco andato a buon fine.

In queste serie analizzeremo dettagliatamente questo ampio tema. I ransomware sono un problema multi-fase, che richiede una soluzione multi-fase in grado di contenere in autonomia e con efficacia un attacco in ogni sua fase. Scopriamo come la Self-Learning AI e l’Autonomous Response bloccano lo sviluppo dei ransomware.

1. Intrusione iniziale (e-mail)

L’intrusione iniziale, la prima fase di un attacco ransomware, può realizzarsi mediante un attacco di brute force RDP (servizi Internet esposti), siti web pericolosi e download drive-by (inconsapevoli), una minaccia interna con accesso a credenziali aziendali, vulnerabilità di sistemi e software o numerosi altri vettori di attacco.

Ma il vettore di attacco iniziale più comune sono le e-mail. Il principale punto debole nella sicurezza di un’organizzazione sono molto spesso le persone e i pirati informatici sono molto abili a trovare dei modi per sfruttare questa debolezza. E-mail estremamente accurate, mirate e dall’aspetto perfettamente legittimo hanno l’obiettivo di indurre una reazione da parte dei dipendenti: un clic su un link, l’apertura di un allegato o convincere a divulgare credenziali o altre informazioni sensibili.

Gateway: bloccano ciò che hanno già rilevato in precedenza

Gli strumenti più convenzionali per la gestione delle e-mail fanno affidamento su indicatori di attacchi precedenti per provare a rilevare una nuova minaccia. Se un’e-mail ha come origine un indirizzo IP o un dominio di posta elettronica che fanno parte di un elenco di elementi bloccati e utilizza malware già rilevato in precedenza, allora l’attacco può essere bloccato.

Ma la realtà è che i pirati informatici sanno perfettamente che la maggior parte delle difese adotta questo approccio “storico” e quindi aggiornano costantemente le infrastrutture dei propri attacchi al fine di bypassare questi strumenti. Acquistando nuovi domini per pochi centesimi o creando malware su misura semplicemente grazie a piccole modifiche al codice, i pirati informatici sono in grado di eludere e superare in astuzia l’approccio tradizionale adottato dai tipici gateway di posta elettronica.

Esempio relativo al mondo reale: attacco di phishing alla supply chain

Al contrario, la comprensione in continua evoluzione che Darktrace ha su ciò che è “normale” per ogni utente di posta elettronica all’interno dell’organizzazione gli consente di rilevare le impercettibili deviazioni indicative di una minaccia, anche se il mittente o qualsiasi contenuto pericoloso all’interno dell’e-mail non sono noti alla threat intelligence. Questo è l’elemento che ha consentito alla nostra tecnologia di bloccare un attacco che recentemente ha colpito McLaren Racing, con e-mail inviate a una dozzina di dipendenti che fanno parte dell’organizzazione, ognuna contenente un link pericoloso. Questo possibile precursore di un ransomware aveva bypassato gli strumenti convenzionali per la protezione della posta elettronica, principalmente perché le e-mail provenivano da un fornitore conosciuto; tuttavia, Darktrace ha riconosciuto la compromissione dell’account e ha bloccato l’inoltro delle e-mail.

Thu Oct 14 2021, 15:21:13
You received a v-mail
100%
Held
Out of Character
Solicitation
Suspicious Link
Known Correspondent
Hold message
Anomaly Indicators

The anomaly score assigned to this email was unusually high for the organization [redacted]. One of the contributing factors was an unusual link to [redacted].

The email contains a highly suspicious link to a host [redacted]. The host has a 100% rarity score based on references in internal traffic, indicating no prior association. The link was hidden from the user and masked by text reading LISTEN/PLAY VOICEMESSAGE. An inducement score of 84% suggests the sender is trying to induce the user into clicking.

The email exhibited an anomaly score of 100% and was held from the user’s inbox.

Figura 1: istantanea interattiva del Threat Visualizer di Darktrace che evidenzia l’e-mail pericolosa

2. Intrusione iniziale (lato server)

Poiché le aziende stanno rapidamente espandendo i propri perimetri con connessione Internet, queste superfici di attacco ampliate hanno aperto la strada ad un aumento vertiginoso di attacchi di brute force e lato server.

Quest’anno sono state segnalate numerose vulnerabilità relative a questi server e sistemi con connessione Internet e, per i pirati informatici, prendere di mira e sfruttare infrastrutture aperte al pubblico non è mai stato così semplice e strumenti come Shodan o MassScan consentono di semplificare la scansione di Internet alla ricerca di vulnerabilità.

Inoltre i pirati informatici possono mettere in pratica l’intrusione iniziale attraverso attacchi RDP di brute force o il furto di credenziali, e gli stessi pirati informatici spesso riutilizzano le credenziali legittime acquisite da precedenti furti di dati. Si tratta di una tecnica molto più precisa e meno evidente rispetto a un classico attacco di brute force.

Moltissimi attacchi ransomware utilizzano un RDP come vettore di accesso. Ciò fa parte di una tendenza più ampia, il “living off the land”: utilizzare strumenti standard legittimi (RDP, protocolli SMB1 o vari strumenti di esecuzione di righe di comando WMI o Powershell) per confondere il rilevamento e l’attribuzione mimetizzandosi nelle tipiche attività dell’amministratore. Garantire che i backup siano isolati, che le configurazioni abbiano una protezione avanzata e che i sistemi abbiano patch applicate non è sufficiente, ed è pertanto necessaria una rilevazione real-time di ogni azione anomala.

Antivirus, firewall SIEM

Se viene scaricato un malware, l’antivirus per endpoint lo rileverà, ma solo se il malware è già conosciuto e schedato. I firewall richiedono tipicamente una configurazione personalizzata in base all’organizzazione, spesso modificata anche in base alle esigenze aziendali. Se l’attacco raggiunge un firewall in cui non c’è corrispondenza con una regola o una firma, l’attacco riuscirà a superare il firewall.

Anche gli strumenti SIEM e SOAR analizzano se è stato scaricato un malware già conosciuto, sfruttando regole pre-programmate e utilizzando risposte pre-programmate. Poiché questi strumenti analizzano i pattern, questi pattern sono definiti in anticipo, e questo approccio quindi fa affidamento sul fatto che il nuovo attacco abbia caratteristiche sufficientemente simili a quelle di attacchi già rilevati in precedenza.

Esempio relativo al mondo reale: ransomware Dharma

Darktrace ha rilevato la presenza di un attacco ransomware Dharma mirato ai danni di un’organizzazione nel Regno Unito e che sfruttava una connessione RDP aperta attraverso server collegati a Internet. Il server RDP aveva iniziato a ricevere numerose connessioni da indirizzi IP rari su Internet. Le credenziali RDP utilizzate in questo attacco erano state molto probabilmente compromesse nel corso di una fase precedente, utilizzando metodi comuni di brute force, attacchi relativi alle credenziali o phishing. Infatti, una tecnica sempre più diffusa è l’acquisto di credenziali RDP sui mercati evitando l’accesso iniziale.

Figura 2: modello di violazioni sviluppatosi nel corso di questo attacco, incluse attività RDP anomale

Sfortunatamente in questo caso, senza l’Autonomous Response installata, l’attacco basato sul ransomware Dharma si è sviluppato fino alla fase finale, in cui il team della sicurezza ha dovuto mettere in pratica azioni non proporzionate e critiche, staccando la spina al server RDP a metà della fase di crittografia.

3. Definizione di punto di accesso e C2

Indipendentemente dallo strumento utilizzato, phishing, attacco di brute-force o qualsiasi altro metodo, il pirata informatico è riuscito ad accedere. A questo punto il pirata informatico stabilisce un contatto con i dispositivi violati e crea un punto di accesso.

Questa fase consente al pirata informatico il controllo da remoto delle fasi successive dell’attacco. Durante queste comunicazioni Command & Control (C2), il pirata informatico può trasferire ulteriori malware ai dispositivi. Ciò gli consente di stabilire un punto di accesso più sviluppato all’interno dell’organizzazione e di utilizzarlo per movimenti laterali.

I pirati informatici possono adattare le funzionalità dei malware con un assortimento di plug-in già pronti all’uso, che consentono di conservare un profilo basso all’interno dell’organizzazione e di non essere rilevati. I ransomware più moderni e sofisticati sono in grado di adattarsi da soli all’ambiente in cui si trovano e di funzionare in modo autonomo, confondendosi tra le normali attività, anche quando scollegati dal relativo server Command & Control. Questa specie di ransomware “auto-sufficienti” rappresentano un enorme problema per le difese tradizionali, che per bloccare le minacce fanno affidamento esclusivamente sulle basi delle relative connessioni esterne pericolose.

Analisi isolata delle connessioni vs comprensione dell’attività aziendale

Gli strumenti di sicurezza convenzionali come IDS e firewall hanno la tendenza ad analizzare le connessioni isolandole, anziché in un contesto di connessioni precedenti e potenzialmente rilevanti, rendendo pertanto le attività di Command & Control difficili da rilevare.

IDS e firewall possono bloccare domini “noti come pericolosi” o utilizzare alcuni blocchi geografici, ma in questo caso il pirata informatico sfrutterebbe probabilmente nuove infrastrutture.

Questi strumenti inoltre hanno la tendenza a non analizzare elementi come la periodicità, ad esempio se una connessione esegue il beaconing a intervalli regolari o irregolari, o l’età e la rarità di un dominio nel contesto ambientale.

Grazie alla propria comprensione in continua evoluzione relativa alle risorse digitali di un’azienda, Darktrace rileva i collegamenti C2 e successivi download sospetti, anche se eseguiti utilizzando programmi o metodi regolari. La sua tecnologia basata sull’AI mette in correlazione numerosi segnali impercettibili di una minaccia, di cui un piccolo sottoinsieme include connessioni anomale a endpoint nuovi o insoliti, download anomali di file, desktop remoti in ingresso e upload e download insoliti di dati.

Una volta rilevati come minaccia, l’Autonomous Response blocca queste connessioni e download, ma consente il normale svolgimento delle attività aziendali.

Esempio relativo al mondo reale: Attacco WastedLocker

Quando un attacco basato sul ransomware WastedLocker ha colpito un’organizzazione agricola statunitense, Darktrace ha immediatamente rilevato l’insolita attività SSL C2 iniziale (sulla base di una combinazione di rarità delle destinazioni, atipicità della metodologia JA3 e analisi della frequenza). Antigena (che in questa occasione era configurato in modalità passiva e, pertanto, senza l’autorizzazione ad intervenire in modo autonomo) ha suggerito istantaneamente di bloccare il traffico C2 sulla porta 443 e la simultanea scansione interna sulla porta 135.

Figura 3: il Threat Visualizer indica quali azioni Antigena avrebbe messo in atto

successivamente è stata rilevata l’attività di beaconing verso bywce.payment.refinedwebs[.]com, in questo caso su HTTP verso /updateSoftwareVersion, Antigena ha intensificato la propria risposta bloccando ulteriori canali C2.

Figura 4: Antigena intensifica la propria risposta

4. Movimenti laterali

Una volta che il pirata informatico ha stabilito un punto di accesso all’interno di un’organizzazione, inizia ad aumentare le proprie conoscenze sull’intero patrimonio digitale e la propria presenza al suo interno. Questo è il modo con cui troverà ed accederà ai file che intende esfiltrare e crittografare. Inizia eseguendo una ricognizione, eseguendo una scansione della rete, delineando un quadro dei dispositivi che la compongono e identificando la posizione delle risorse più di valore.

Successivamente il pirata informatico inizia a muoversi lateralmente. Il pirata informatico infetta altri dispositivi e tenta di aumentare i propri privilegi, ad esempio ottenendo credenziali di amministratore, aumentando quindi il proprio controllo all’interno dell’ambiente. Una volta ottenuti autorità e presenza all’interno del patrimonio digitale, passa alla fase finale dell’attacco.

I ransomware moderni hanno al proprio interno funzioni integrate che consentono la ricerca automatica di password archiviate e la propria diffusione all’interno dell’intera rete. Specie più sofisticate di ransomware sono progettate per svilupparsi in modo differente in base ad ambienti differenti, creando quindi una firma in continua evoluzione e difficile da rilevare.

Strumenti tradizionali: una risposta poco incisiva alle minacce sconosciute

Poiché si basano su regole e firme statiche, le soluzioni tradizionali non sono in grado di prevenire movimenti laterali ed escalation dei privilegi senza bloccare l’operatività aziendale fondamentale. Anche se in teoria un’organizzazione che sfrutta firewall e NAC internamente con una corretta segmentazione della rete e una perfetta configurazione potrebbe prevenire movimenti laterali all’interno della rete, mantenere un equilibrio perfetto tra controlli protettivi e con effetti negativi è praticamente impossibile.

Alcune organizzazioni si affidano a sistemi per la prevenzione delle intrusioni (IPS) per bloccare il traffico di rete quando vengono rilevate minacce conosciute nei pacchetti, ma, come nelle fasi precedenti, malware inediti eluderanno questi rilevamenti e pertanto sono necessari aggiornamenti costanti del database. Queste soluzioni inoltre riguardano solo punti di ingresso/uscita e pertanto la visibilità che hanno sulla rete è limitata. Un Intrusion Detection System (IDS) può essere “out-of-line”, ma senza capacità di risposta.

Un approccio basato sul self-learning

L’AI di Darktrace apprende il senso del “sé” relativo a un’organizzazione e gli consente di rilevare attività sospette indicative di movimenti laterali, indipendentemente dall’utilizzo di nuove infrastrutture o di tecniche “live off the land” da parte del pirata informatico. Potenziali attività insolite rilevate da Darktrace includono attività di scansione, SMB, RDP e attività insolite. Altri modelli che vengono rilevati in questa fase includono:

  • Attività sospette su dispositivi ad alto rischio
  • EXE numerico in scrittura SMB
  • Controllo servizi nuovi o non comuni

L’Autonomous Response quindi mette in pratica azioni mirate per bloccare la minaccia in questa fase, interrompendo connessioni anomale, applicando al dispositivo infetto il relativo “pattern of life” o applicando il “pattern of life” di gruppo, aggregando automaticamente i dispositivi in “gruppi peer” e facendo in modo che il dispositivo non compia azioni non previste nel proprio “gruppo peer”.

Se il comportamento pericoloso persiste, e solo se necessario, Darktrace metterà in quarantena un dispositivo infetto.

Esempio relativo al mondo reale: catena insolita di connessioni RDP

Presso un’organizzazione con sede a Singapore, un server compromesso ha consentito la creazione di un botnet, che ha iniziato a muoversi lateralmente, prevalentemente stabilendo catene di connessioni RDP insolite. Il server quindi ha avviato connessioni SMB e RPC esterne verso endpoint rari su Internet, nel tentativo di individuare ulteriori host vulnerabili.

Altre attività correlate a movimenti laterali rilevate da Darktrace includevano tentativi ripetuti ma non andati a buon fine di accedere a numerosi dispositivi interni tramite protocollo di condivisione file SMB utilizzando una gamma di nomi utente differenti, suggerendo quindi tentativi di accesso alla rete mediante brute-force.

Figura 5: Cyber AI Analyst di Darktrace rileva scansioni TCP sospette, seguite da una catena sospetta di connessioni RDP di tipo amministrativo

5. Esfiltrazione dei dati

In passato, i ransomware comportavano semplicemente la crittografia di un sistema operativo e dei file di rete.

In un attacco moderno, dato che le organizzazioni hanno iniziato a difendersi dalle crittografie pericolose gestendo in maniera più diligente i backup dei dati, i pirati informatici hanno adottato tecniche di “doppia estorsione”, in cui esfiltrano dati fondamentali e distruggono poi i backup prima dell’esecuzione della crittografia. I dati esfiltrati vengono utilizzati per ricattare le organizzazioni e i pirati informatici minacciano di pubblicare online informazioni sensibili o di venderle alla concorrenza nel caso in cui non ricevano un pagamento.

Le varianti di ransomware moderni vanno anche alla ricerca di repository di archiviazione file su Cloud, come Box, Dropbox e altri.

Molti di questi incidenti non sono resi pubblici, perché quando viene rubato un IP, le organizzazioni non sono sempre legalmente obbligate a rivelarlo. Tuttavia, nel caso di dati di clienti, le organizzazioni sono obbligate legalmente a rivelare l’incidente e devono affrontare l’ulteriore problema delle multe relative alla conformità, un problema che è continuato a crescere nel corso degli ultimi anni (Marriot, 23,8 milioni di dollari; British Airways, 26 milioni di dollari; Equifax, 575 milioni di dollari). Inoltre, bisogna affrontare le conseguenze legate alla reputazione associate al dover informare i clienti dell’avvenuta violazione dei dati.

Strumenti tradizionali: sempre la solita storia

Per chi ci segue da tempo, la storia risulterà familiare: per bloccare un attacco ransomware in questa fase molte difese si affidano a definizioni pre-programmate di “pericoloso” o su regole create per combattere scenari differenti e ciò costituisce un pericolo per le organizzazioni, un gioco senza fine tra gatto e topo.

Un firewall e un proxy possono bloccare le connessioni in base a politiche pre-programmate basate su endpoint o volumi di dati specifici, ma è probabile che un pirata informatico adotti tecniche “live off the land” e utilizzi un servizio generalmente consentito a livello aziendale.

L’efficacia di questi strumenti varierà in base al volume di dati: possono essere efficaci in caso di attacchi di tipo “furto con scasso”, che utilizzano malware conosciuti e nessuna tecnica di elusione delle difese, ma è improbabile che rilevino esfiltrazioni con profilo basso e lento e specie nuove e sofisticate.

D’altra parte, poiché per natura coinvolgono un cambiamento da un comportamento previsto, anche le esfiltrazioni di dati meno evidenti e con profilo basso e lento vengono rilevate da Darktrace e bloccate grazie all’Autonomous Response. Non verrà perso alcun file riservato e i pirati informatici non potranno richiedere alcun pagamento di un riscatto attraverso il ricatto.

Esempio relativo al mondo reale: catena insolita di connessioni RDP

È sempre più difficile trovare esempi di Antigena che blocca ransomware in queste fasi avanzate, poiché solitamente la minaccia viene già contenuta molto prima. Questa è l’arma a doppio taglio di una sicurezza di tipo efficace: il contenimento precoce non consente la creazione di una narrazione! Tuttavia, possiamo analizzare gli affetti di un attacco ransomware “a doppia estorsione” ai danni di un’azienda energetica con sede in Canada. L’organizzazione aveva installato l’Enterprise Immune System ma non Antigena, quindi senza nessuno che monitorasse ciò che l’AI di Darktrace rilevava, l’attacco ha potuto passare inosservato.

Il pirata informatico si è collegato ad un file server interno e ha scaricato 1,95 TB di dati. È stato rilevato anche il download del software Rclone da parte del dispositivo: si tratta di uno strumento open source probabilmente utilizzato per sincronizzare automaticamente i dati verso il servizio di archiviazione file legittimo pCloud. Terminata l’esfiltrazione dei dati, il dispositivo “serverps” ha avviato la crittografia dei file su 12 dispositivi utilizzando l’estensione *.06d79000. Come nella maggior parte degli incidenti ransomware, la crittografia si è verificata al di fuori dell’orario di lavoro, durante la notte, ora locale, per minimizzare le possibilità che il team della sicurezza reagisse rapidamente.

Leggi i dettagli completi relativi all’attacco

È importante ricordare che l’ordine esatto delle fasi da 3 a 5 elencate in precedenza non è fisso e immutabile, ma può variare in base all’attacco. A volte si verifica l’esfiltrazione dei dati e pertanto si verificano ulteriori movimenti laterali ed ulteriori attività di beaconing C2. Questo periodo completo è chiamato “tempo di attesa”. A volte si tratta solo di qualche giorno, altre volte i pirati informatici posso continuare le proprie attività per mesi, acquisendo lentamente sempre più informazioni ed esfiltrando i dati adottando un profilo “basso e lento” al fine di evitare di essere rilevati da strumenti basati su regole e configurati per evidenziare qualsiasi singolo trasferimento di dati oltre una certa soglia. Solo attraverso una comprensione olistica delle attività pericolose nel corso del tempo una tecnologia è in grado di rilevare questo livello di attività e consentire ai team della sicurezza di rimuovere la minaccia prima che raggiunga le fasi più avanzate e pericolose di un ransomware.

6. Crittografia dei dati

Utilizzando una crittografia simmetrica o asimmetrica, oppure una combinazione tra le due, i pirati informatici tentano di rendere inutilizzabili quanti più dati possibili all’interno della rete dell’organizzazione prima che l’attacco venga rilevato.

Poiché solo i pirati informatici hanno accesso alle chiavi correlate alla decrittazione, ora hanno il controllo totale su ciò che avviene ai dati dell’organizzazione.

Risposta e interruzione pre-programmate

Ci sono molte famiglie di strumenti che affermano di bloccare la crittografia in questo modo, ma ognuna contiene punti ciechi che consentono ai pirati informatici evoluti di eludere qualsiasi rilevamento in questa fase fondamentale. Quando entrano in azione, spesso lo fanno in modo estremamente invasivo, causando interruzioni significative e impedendo il regolare svolgimento della normale operatività aziendale.

I firewall interni impediscono l’accesso ai server da parte dei client, quindi una volta che il pirata informatico è riuscito ad accedere ai server utilizzando una qualsiasi delle tecniche spiegate in precedenza, ha la completa libertà di agire come vuole.

Allo stesso modo, gli strumenti antivirus vanno alla ricerca solo di malware noti. Se il malware non è mai stato individuato fino a quel momento, è altamente improbabile che l’antivirus entri in funzione.

Bloccare la crittografia in modo autonomo

Anche se vengono utilizzati strumenti e metodi utilizzati comunemente, l’Autonomous Response può forzare l’applicazione del normale “pattern of life” per i dispositivi che tentano di avviare la crittografia, senza utilizzare regole statiche né firme. Questa azione può essere messa in pratica in modo indipendente o tramite integrazioni con controlli di sicurezza nativi, massimizzando il ritorno degli investimenti sulla sicurezza. Grazie all’Autonomous Response mirata, la normale operatività aziendale può continuare mentre la crittografia viene impedita.

7. Messaggio di riscatto

È importante notare che nelle fasi precedenti alla crittografia, questo attacco ransomware non è ancora basato su un “ransomware”, una richiesta di riscatto. Solo in questa fase assume il significato del suo nome.

Viene inviata una richiesta di riscatto. I pirati informatici richiedono il pagamento in cambio della chiave di decrittazione e minacciano la pubblicazione dei dati sensibili esfiltrati. L’organizzazione deve decidere se pagare il riscatto o se perdere i propri dati, che potrebbero finire in mano alla concorrenza o diffusi pubblicamente. La richiesta media fatta dai pirati informatici che hanno utilizzato attacchi ransomware nel 2021 è stata di 5,3 milioni di dollari: l’azienda JBS che si occupa della lavorazione di carni ha pagato un riscatto di 11 milioni di dollari e DarkSide ha ricevuto pagamenti per più di 90 milioni di dollari in Bitcoin a seguito dell’incidente che ha riguardato la Colonial Pipeline.

Tutte le fasi precedenti a questo punto rappresentano un tipico attacco ransomware di tipo tradizionale. Ma gli attacchi ransomware si stanno trasformando da attività di crittografia indiscriminate a danni di dispositivi, a interruzioni mirate delle attività aziendali in generale, utilizzando più di una tecnica per costringere le vittime a pagare un riscatto. Metodi aggiuntivi di estorsione includono non solo l’esfiltrazione di dati, ma anche compromissioni di domini aziendali, eliminazione o crittografie dei backup, attacchi ai danni di sistemi legati ai sistemi di controllo industriale, attacchi ai danni di VIP aziendali… e l’elenco continua.

A volte, i pirati informatici passano direttamente dalla fase 2 alla fase 6 e direttamente all’estorsione. Recentemente, Darktrace ha bloccato un attacco basato su e-mail in cui il pirata informatico aveva direttamente bypassato tutto il lavoro fisico e tentato di avviare l’attività di estorsione direttamente in un’e-mail. Il pirata informatico affermava di aver compromesso i dati sensibili dell’organizzazione e chiedeva un pagamento in bitcoin per la restituzione degli stessi dati. Indipendentemente dal fatto che l’affermazione fosse vera oppure no, questo attacco ha dimostrato che la crittografia non è sempre necessaria per l’estorsione e questo tipo di vessazione si presenta in numerose forme.

Thu Nov 11 2021, 03:11:57
Here is your last warning! Your information has been compromised...
Ember Weston <[email protected]>
Andy Bird <[email protected]>
100%
Held
Extortion
New Contact
Hold message
Anomaly Indicators

The email contains suspicious references to bitcoin cryptocurrency and was held from the user’s inbox. The high inducement score suggests an attempt to extort the user into making a payment.

Figura 6: Darktrace blocca l’e-mail pericolosa, proteggendo il destinatario e l’organizzazione contro qualsiasi pericolo

Come nell’e-mail di esempio che abbiamo analizzato nel primo post di questa serie, Antigena Email è intervenuto e ha bloccato questa e-mail, quando invece altri strumenti di protezione delle posta elettronica non erano intervenuti, bloccando questo tentativo di estorsione potenzialmente costoso.

Attraverso la crittografia o altro tipo di ricatto, il messaggio è sempre lo stesso. Pagate o altrimenti sono guai. In questa fase è troppo tardi per iniziare a pensare a qualcuna delle opzioni descritte in precedenza a disposizione dell’organizzazione e che avrebbero potuto bloccare l’attacco nelle sue fasi iniziali. A questo punto rimane solo un dubbio. “Pagare o non pagare”, questa è la domanda che ci si pone.

Spesso le persone credono che, superata la fase del pagamento del riscatto, i loro problemi siano finiti, ma purtroppo si tratta solo dell’inizio...

8. Pulizia

Vengono compiuti vari sforzi per mettere in sicurezza le vulnerabilità che hanno consentito il verificarsi dell’attacco: l’organizzazione deve essere consapevole che circa l’80% delle vittime di ransomware saranno nuovamente prese di mira in futuro.

Gli strumenti tradizionali sono sostanzialmente incapaci di mettere in risalto le vulnerabilità che hanno consentito la violazione iniziale. Proprio come cercando un ago in un pagliaio, i team della sicurezza avranno difficoltà a trovare informazioni utili all’interno dei registri limitati messi a disposizione da firewall e IDS. Le soluzioni antivirus possono individuare alcuni malware conosciuti, ma non sono in grado di bloccare vettori di attacco inediti.

Grazie a Cyber AI Analyst di Darktrace, le organizzazioni hanno una completa visibilità su tutte le fasi dell’attacco, all’interno di qualsiasi area del patrimonio digitale, rivelando qualsiasi attacco ransomware. Sono in grado inoltre di analizzare quali azioni intraprendere per bloccare l’attacco utilizzando l’Autonomous Response.

9. Ripristino

L’organizzazione tenta di ripristinare l’ordine all’interno del proprio ambiente digitale. Anche se ha pagato per ricevere una chiave di decrittazione, molti file rimangono crittografati o danneggiati. Oltre al costo del pagamento del riscatto, interruzioni di rete, interruzioni dell’attività aziendale, attività di risoluzione e ripristino e contrattempi PR comportano tutti delle ingenti perdite finanziarie.

L’organizzazione vittima può anche dover affrontare costi aggiuntivi correlati alla reputazione e il 66% delle vittime segnala una significativa perdita di ricavi dopo un attacco ransomware, mentre il 32% segnala la perdita di talenti C-level come conseguenza diretta di un ransomware.

Conclusione

Anche se le fasi di livello avanzato descritte in precedenza sono comuni in molti attacchi ransomware, non appena si iniziano ad analizzare i dettagli, si comprende che ogni attacco ransomware è differente.

Poiché molti attacchi ransomware mirati provengono da ransomware affiliati, strumenti, tecniche e procedure (TTP) visualizzate durante l’intrusione variano ampiamente, anche quando viene utilizzato lo stesso malware ransomware. Ciò significa che anche confrontando due attacchi ransomware differenti che utilizzano la stessa famiglia di ransomware, è probabile imbattersi in TTP completamenti differenti. Ciò rende impossibile prevedere che aspetto avranno i ransomware di domani.

Questa è la spina nel fianco degli strumenti tradizionali, che si basano su attacchi precedenti. Gli esempi precedenti dimostrano che le tecnologie basate su self-learning e Autonomous Response sono l’unica soluzione in grado di bloccare i ransomware in qualsiasi fase, all’interno di ambienti di posta elettronica e di rete.

Dan Fein

Based in New York, Dan joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.