Gli attacchi ransomware sono diventati una triste costante di questi ultimi mesi, gli obiettivi sono i più vari: dalle PMI, alla Pubblica Amministrazione, fino ad arrivare ai grandi “colpi” messi a segno tra le grandi imprese e le realtà mondiali che in questi mesi più di una volta sono state prese di mira.
Recentemente il team Threat Intelligence dei Kaspersky Labs ha realizzato una ricerca in cui vengono analizzate le tecniche di quelli che vengono definiti gli otto collettivi di hacker più attivi e pericolosi. Il report è stato chiamato “The hateful eight” (Gli odiosi otto), titolo preso dal noto film di Quentin Tarantino. Chi segue le le notizie relative alla cybersicurezza avrà sentito nominare almeno una volta questi gruppi ormai diventati “famigerati”: Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte e BlackCat, sono tutti collettivi di cybercriminali attivi da tempo e gli attacchi che li hanno resi più famosi hanno come punto di partenza il primo trimestre del 2021 in piena seconda ondata Covid.
Secondo le attuali stime, dopo più di un anno, i collettivi hanno preso di mira un totale di oltre 500 aziende e organizzazioni che lavorano in vari settori. Le principali aree in cui hanno agito sono Stati Uniti, Gran Bretagna e Germania, ma non sono mancate anche frequenti incursioni in Italia che, purtroppo, a livello di attacchi ransomware resta uno dei Paesi più colpiti.
Il report analizza principalmente le TTP (Tactics, Techniques, and Procedures), ovvero le tattiche, le tecniche e procedure che vengo usate per portare a termine un attacco. Lo scopo dello studio è ovviamente quello di identificare modelli di comportamento che vengono ripetuti e che quindi possono essere analizzati per difendersi da strategie specifiche e particolari vettori d’attacco usati dai cybercriminali.
Il risultato, davvero interessante, ha rivelato che gruppi diversi condividono più della metà della catena di cyber-kill ma sopratutto eseguono le fasi principali d’attacco in modo identico. Il testo, oltre a far capire come operano i collettivi che si dedicano principalmente al ransomware, fornisce importanti informazioni per contrastarli.
Tutti questi gruppi al momento sono ancora attivi a parte Conti/Ryuk, vittima di un importante leak in cui sono stati pubblicati in rete il codice sorgente dei tool oltre a 60.000 messaggi scambiati tra i membri dell’organizzazione, che al momento sembra essere fuori dai giochi mentre tenta di riorganizzarsi. Sono numerosi gli esperti in cybersicurezza che hanno criticato la mossa di rendere pubblico il codice sorgente che in questo modo potrà essere modificato e riadattato da altri gruppi di hacker meno esperti. Gli analisti considerano che alcune delle tipologie di attacco derivino dal MITRE ATT&CK, una linea guida per classificare e descrivere attacchi informatici e intrusioni creata dalla Mitre Corporation nel 2013.
I ricercatori del Threat Intelligence forniscono una spiegazione sulle somiglianze degli attacchi. La principale, come prevedibile, è lo sviluppo del fenomeno RaaS (Ransomware-as-a-Service). Si tratta di piattaforme che costituiscono un vero e proprio modello di business basato su abbonamento in cui gli operatori di ransomware affittano malware agli affiliati tramite il dark web. Gli operatori RaaS di solito ricevono una percentuale dei pagamenti di riscatto guadagnati durante le campagne d’attacco. I metodi di consegna dei vettori d’attacco sono impostate automaticamente principalmente per generare campagne di phishing verso obiettivi precisi.
Altro fenomeno da non sottovalutare, è che spesso i cybercriminali che controllano queste piattaforme forniscono anche gli strumenti per la crittografia dei dati. Per quanto riguarda invece i vettori di attacco, la tendenza è quella del riutilizzo di vecchi strumenti opportunamente riadattati per renderli più difficili da individuare e contrastare, senza però la necessità di crearne di nuovi. Questa soluzione riduce notevolmente i tempi necessari per preparare gli attacchi.
Allo stesso modo il riutilizzo dei TTP facilità le procedure di hacking. Ovviamente si tratta di un rischio per i cybercriminali poiché le tecniche conosciute possono essere più facilmente individuate dai sistemi che difendono l’infrastruttura. Gli attaccanti fanno però leva sulle modifiche effettuate ai malware e anche all’uso di più vettori contemporaneamente in modo da tenere impegnati su più fronti chi sta tentando di contrastare l’infiltrazione.
Altro elemento su cui contano i cybercriminali è l’installazione lenta di aggiornamenti e patch da parte delle vittime, elemento che facilita enormemente il compito ai malintenzionati. Installare tempestivamente le patch disponibili è fondamentale per contrastare gli attacchi in modo da evitare che ne vengano sfruttate le vulnerabilità.
Ricordiamo poi di eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza. Ovviamente il backup deve essere seguito su server esterni, meglio se certificati AGID come quelli proposti dal servizio yCloud di HyperGrid.
Anche le soluzione che basano la protezione dell’infrastruttura sugli endpoint sono utili per controllare i dispositivi connessi alla rete e quelli che accendono dall’esterno. Il servizio proposto da HyperGrid sorveglia l’intera infrastruttura da remoto, oltre a verificare l’eventuale infiltrazione di attacchi negli endpoint e offre funzioni di rilevamento avanzato che vengono controllate da personale esperto e tramite processi automatici. La gestione del sistema può essere eseguita da una pratica dashboard anche dall’azienda del cliente, dato che non sono richieste competenze particolari.
Consideriamo poi di usare una connessione criptata VPN che permette di trasferire in tutta sicurezza i dati. Ultimo elemento, ma non meno importante per la difesa dell’azienda dai ransomware, è la formazione dei dipendenti con corsi che li rendano partecipi dei pericoli delle rete e di come sono le procedure di attacco basilari delle infiltrazioni ransomware. In tutte queste soluzioni (e in molti altri casi), gli esperti del team HyperGrid sapranno esservi d’aiuto e consigliarvi in base alle reali necessità dell’azienda.
La ricerca “The hateful eight”, in lingua inglese, può essere richiesta gratuitamente a partire dal sito https://bit.ly/3OxvgDw e contiene oltre 150 pagine di analisi dettagliate che possono risultare decisamente utili agli analisti SOC, ai team che si dedicano alla ricerca delle minacce informatiche e agli specialisti di digital forensic. I dati sono altrettanto fondamentali per chi deve difendere l’infrastruttura aziendale da pericoli sempre più insidiosi.
Devi effettuare l'accesso per postare un commento.