Ransomware un anno dopo WannaCry: attacca i vettori ancora comunemente sfruttati dagli aggressori. Le soluzioni Darktrace - Capitolo 1

Molte aziende sono sull'orlo della trasformazione digitale, la quale comporta l'adozione di nuove tecnologie che elaborano moltissimi dati personali e di tipo aziendale. Nonostante il numero crescente di innovazioni volte a impedire l'evoluzione delle minacce informatiche dal dirottamento di tali dati, il numero di violazioni e attacchi di dati di alto profilo e di successo ha evidenziato di recente le pratiche di sicurezza insufficienti delle organizzazioni di tutto il mondo.

redatto da Aryon Solutions | Cyber Security | 07-09-2018

Il ransomware continua a essere una delle minacce informatiche più serie e dirompenti. I modelli di business, le motivazioni e le tecniche di infezione delle campagne emergenti si sono diversificati e nuovi filoni di ransomware continuano a superare il rilascio degli strumenti di decrittografia. Entro il 2019, i costi di danneggiamento dei ransomware globali supereranno $ 11,5 miliardi all'anno.

Le tre campagne di ransomware più memorabili del 2017 - Wannacry, NotPetya e Bad Rabbit - sono state rivoluzionarie per portata, diffusione e potere distruttivo, dimostrando che ogni azienda, industria e paese è una potenziale vittima. Sebbene il danno causato da questi attacchi abbia evidenziato l'importanza di una buona igiene informatica, molte aziende hanno lottato per affrontare anche le vulnerabilità più diffuse. Poiché prevenire è meglio che curare, questo articolo discuterà alcuni dei più comuni vettori di infezione e in che modo il sistema immunitario di Darktrace Enterprise, nostro partner,  può aiutare i team di sicurezza a rilevare le minacce ransomware.

Motivazioni: guadagno finanziario o devastazione?

Il ransomware è tradizionalmente collegato con un rapido guadagno ottenendo che la vittima paghi una quota fissa per sbloccare i file crittografati. Il fenomeno del ransomware-as-a-service lo ha reso più facile che mai, poiché ha permesso a chiunque di acquistare sempre più potenti kit di distribuzione di ransomware sul Dark Web. La recente crescita delle criptovalute ha anche reso molto più facile mantenere l'anonimato rispetto al passato, determinando un netto aumento dei cyber-criminali motivati finanziariamente.

Purtroppo, l'obiettivo del ransomware non è più solo per fare soldi. NotPetya e altre campagne come Ordinypt sono state progettate per distruggere intenzionalmente i dati. Anche se NotPetya ha fornito alle sue vittime istruzioni di pagamento, non aveva modo di identificare chi avesse effettivamente effettuato il pagamento. L'incertezza che circonda il recupero dei file persi e la possibilità di essere associati al finanziamento di organizzazioni malevoli hanno quindi scoraggiato molte vittime dal soddisfare le richieste di riscatto.

Indipendentemente da quanto un'impresa cerchi di salvaguardare i propri beni, gli incidenti sono inevitabili e gli attacchi di riscatto rappresentano una scelta sempre più probabile di azioni criminali. Ma ora è possibile identificare gli attacchi in corso e gestirli prima che diventino una crisi.

Case study 1: download di file eseguibili da un sito Web compromesso

Molti file prolifici di ransomware sono stati distribuiti da e-mail di phishing, download di file infetti, siti Web compromessi, malvertising e kit di exploit. In molti casi, il ransomware viene spesso scaricato e installato senza che la vittima ne sia a conoscenza. Per illustrare la meccanica del download del ransomware, analizzeremo il ciclo di vita di un incidente di GandCrab. Nel caso di studio dettagliato di seguito, il sistema immunitario di Darktrace Enterprise ha contrassegnato un dispositivo cliente che recupera un file eseguibile da una posizione precedentemente non controllata a seguito di un reindirizzamento da un altro sito raro.

Il file contenente il ransomware è stato scaricato da un sito Web registrato in un dominio polacco. Poco dopo aver scaricato il file, il dispositivo del cliente ha iniziato a raggiungere due località che non erano state contattate da nessun altro dispositivo di rete, nomoreransom.bit e bleepingcomputer.bit. Entrambi sono server di comando e controllo per GandCrab ransomware. Una volta contattato, il virus dannoso ha proceduto alla crittografia dei file sul server SMB, aggiungendo l'estensione GDCB (GandCrab) mentre si spostava attraverso le cartelle. In pochi secondi dall'arrivo del virus sulla rete aziendale, il team di Cyber Analyst di Darktrace ha messo in guardia il team di sicurezza dalla minaccia. È stata quindi intrapresa un'azione preventiva, che ha consentito di contenere la minaccia in modo tempestivo.

fonte: https://www.darktrace.com