Rilevamento Ransomware con Tecnologie Esistenti

[post-views]
Novembre 16, 2020 · 7 min di lettura
Rilevamento Ransomware con Tecnologie Esistenti

Sembra che siamo sull’orlo di un’altra crisi causata da attacchi ransomware e la proliferazione del modello Ransomware as a Service che permette anche ai più inesperti di entrare nel grande gioco. Ogni settimana, i media sono pieni di titoli che un’azienda nota o un’organizzazione governativa è diventata un’altra vittima di un attacco, i sistemi sono stati bloccati e dati sensibili sono stati rubati. Queste organizzazioni probabilmente avevano tutto il necessario per rilevare tempestivamente il ransomware, ma in qualche modo gli attaccanti hanno superato il team di sicurezza.

La crisi che abbiamo menzionato in precedenza non è nemmeno legata al numero di attacchi, che sta crescendo costantemente a causa dell’aumento del numero di affiliati RaaS, ma al furto di dati prima di crittografare i file. Secondo il report pubblicato da Coveware nel novembre 2020, nel terzo trimestre, i cybercriminali sono riusciti a esfiltrare dati in circa la metà dei loro attacchi. E questo è il doppio rispetto al trimestre precedente. Un’altra cifra interessante del report è il pagamento medio del riscatto, che ha già superato i 230.000 dollari.

 

Attacchi ransomware e esfiltrazione dei dati

 

Gli attacchi ransomware sono diventati un problema a metà degli anni 2000 quando i cybercriminali sono passati dai semplici Screen Locker, facilmente aggirati dagli utenti esperti, ma che comunque generavano un buon profitto, alla crittografia dei file, che senza una chiave di decrittazione porta quasi sicuramente alla perdita di dati. Nei primi anni 2010, è apparso il primo worm ransomware e dopo pochi anni i cybercriminali hanno iniziato massicce campagne di spam rivolte principalmente agli utenti non aziendali, ma le capacità di rilevamento dei ransomware delle aziende erano per lo più sufficienti a non far avvertire la minaccia. Nel 2016 è apparso il primo Ransomware as a Service, che era ancora destinato ad attacchi a singoli individui. A maggio 2017, l’epidemia WannaCry ha mostrato al mondo che le organizzazioni possono essere un grande bersaglio e che il recupero da un attacco ransomware è molto costoso. NotPetya ha solo confermato questo e presto i grandi attori si sono spostati completamente verso attacchi alle organizzazioni per arrivare ai server di backup e crittografare quanti più sistemi chiave possibile senza possibilità di recupero. Alla fine del 2019, gli affiliati del Maze RaaS hanno iniziato a rubare dati dopo aver infiltrato la rete dell’organizzazione, che poi pubblicavano su una risorsa appositamente creata per fare pressione sulle vittime e costringerle a pagare una cifra di riscatto davvero enorme. Questo è rapidamente diventato popolare e, come possiamo vedere dal report, i cybercriminali ora rubano dati in ogni secondo attacco.

 

Pecore nere nel lato oscuro

 

Fino a poco tempo, i cybercriminali hanno giocato relativamente in modo leale, e in caso di riscatto, fornivano una sorta di prova che i dati erano stati cancellati. Ma non c’è onore tra ladri e ora ci sono sempre più casi in cui gli avversari non cancellano i dati dopo aver ricevuto il pagamento del riscatto. In almeno alcuni casi, gli affiliati di Sodinokibi hanno ripetutamente richiesto denaro per cancellare i file dopo che i sistemi crittografati sono stati ripristinati. Ma questo non è l’unico RaaS con affiliati “corrotti”. Gli attaccatori dietro Netwalker e Mespinoza sono stati visti non cancellare file, poiché informazioni riservate sono state pubblicate sui loro “siti” a causa di alcuni “guasti tecnici” dopo aver ricevuto un riscatto. Il gruppo dietro al ransomware Conti ha cercato di ingannare le vittime inviando prove falsificate della cancellazione dei dati.

Dovremmo anche menzionare i pionieri del furto di file, Maze RaaS e i loro affiliati. Secondo il report, ci sono stati casi in cui gli affiliati hanno reso pubblici i dati prima di informare la vittima del loro rapimento. Gli operatori di Maze sono noti per eliminare gli affiliati che violano le loro regole, e alcuni di questi, come nella situazione con Sodinokibi, cercano di riottenere il riscatto dalle aziende attaccate o cercano di vendere dati nel DarkNet. La situazione è aggravata dal fatto che un gran numero di soluzioni di sicurezza offre rilevamento ransomware, e gli attaccanti non possono crittografare un numero sufficiente di sistemi. Ma hanno tutti i dati rubati da tali attacchi semi-falliti, e stanno cercando di ottenere almeno un po’ di profitto in ogni modo.

 

Rilevamento degli attacchi ransomware e perché è così importante

 

Ovviamente, il rilevamento degli attacchi ransomware è cruciale per una difesa informatica continua, e puoi implementarlo utilizzando gli strumenti già presenti nella tua organizzazione. Nonostante il fatto che venga compilato un ransomware unico per ogni attacco su un’organizzazione, alcune soluzioni antivirus saranno in grado di riconoscerlo e neutralizzarlo. Ci sono molte regole differenti per le soluzioni SIEM e NTDR che possono identificare anomalie che indicano un attacco ransomware. Ma è altrettanto importante rilevare una minaccia il prima possibile perché la crittografia dei file è già la fase finale di un attacco quando i dati sensibili sono già nelle mani dei cybercriminali. Per penetrare nella rete dell’organizzazione, le bande di ransomware possono attaccare con forza bruta le connessioni RDP, acquistare credenziali compromesse nei mercati del DarkNet, usare il vecchio phishing o sfruttare vulnerabilità conosciute. Dopo la penetrazione, gli attaccanti cercano di ottenere accesso ai Active Directory (da dove è più facile infettare tutti i workstation in modo centrale) e ai server di backup per eliminare tutti i backup raccogliendo tutti i dati sensibili che possono trovare lungo il percorso. Finora, il gruppo noto per l’uso del ransomware Ryuk è considerato il campione. Sono riusciti a crittografare sistemi entro cinque ore dopo aver penetrato nella rete.

 

Rendete più semplice il rilevamento del ransomware

 

Purtroppo, non esiste una soluzione che fornisca il 100% di protezione contro tali attacchi informatici, ma è possibile aumentare significativamente le capacità di rilevamento dei ransomware delle piattaforme di sicurezza esistenti nella tua organizzazione. Ogni mese, gli sviluppatori del Threat Bounty Program e il SOC Prime Content Team pubblicano nel Threat Detection Marketplace dozzine di contenuti SOC che aiutano a rilevare tecniche, strumenti e attività sospette che possono indicare una fase attiva di un attacco ransomware. Dopo tutto, è importante non solo rilevare i binari del ransomware e il loro comportamento, ma anche una varietà di strumenti ed exploit utilizzati dai cybercriminali durante la ricognizione e i movimenti laterali. Queste regole hanno traduzioni per più piattaforme, includendo le soluzioni SIEM e NTDR più popolari. Al momento della scrittura, il Threat Detection Marketplace supporta più di 20 piattaforme, tra cui Azure Sentinel, Chronicle Security, Humio, Corelight, Sumo Logic, la Elastic Stack, Carbon Black, CrowdStrike, Logpoint, RSA NetWitness, ArcSight, Splunk, QRadar, Apache Kafka ksqlDB, Microsoft Defender ATP e Sysmon. Stiamo aggiungendo continuamente nuove piattaforme supportate e integrazioni, quindi se non trovi la piattaforma che stai utilizzando in questo elenco, contatta support@socprime.com per dare priorità allo sviluppo di questa integrazione.

Puoi controllare i contenuti disponibili tramite questo link, o trovare regole per strumenti specifici e varianti di ransomware nella pagina del Threat Detection Marketplace.

Abbiamo recentemente rilasciato il modulo Continuous Content Management (CCM) che supporta Azure Sentinel e Elastic Stack per trasmettere contenuti SOC direttamente alla tua istanza SIEM e aiutarti ad automatizzare le tue capacità di rilevamento del ransomware. Qui puoi guardare la registrazione della presentazione dal vivo dei vantaggi del modulo CCM. Il supporto per altre piattaforme arriverà a breve. Con il modulo CCM, puoi non solo automatizzare la ricerca e l’installazione del contenuto SOC richiesto, ma anche aggiornare tempestivamente le regole che hai già implementato, e aggiungere questi aggiornamenti alla tua istanza SIEM al volo.

Per sfruttare il modulo CCM, puoi acquistarlo come licenza separata o come parte del livello di abbonamento Universe senza costi aggiuntivi. Tuttavia, hai un’altra opzione per provarlo gratuitamente richiedendo una prova gratuita di 14 giorni. Iscriviti per Threat Detection Marketplace potenziare le tue capacità di rilevamento e risposta alle minacce.

 

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Blog, Ultime Minacce — 6 min di lettura
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko