Ransomware, violazione dell’email aziendale (BEC, Business Email Compromise) e perdita di dati hanno più punti in comune di quanto si possa immaginare.
Il ransomware ha superato la fase epidemica per diventare un fenomeno endemico. Sta avendo un impatto sulla vita quotidiana come mai prima d'ora e nessuna azienda ne è immune. Secondo il report State of the Phish 2022, il 68% delle aziende a livello mondiale ha subito almeno un'infezione ransomware come conseguenza diretta della trasmissione di un payload via email, della distribuzione di malware di secondo livello o di un altro tipo di violazione. Se utilizzi Internet, potresti essere il bersaglio di un ransomware.
Così come si è ampliato il bacino di potenziali vittime del ransomware, si è evoluto anche il modus operandi dei criminali informatici. Le tecniche di doppia e tripla estorsione sono ormai diffuse. L’esfiltrazione di grandi quantità di dati sensibili e il mantenimento di un accesso persistente consentono ai criminali informatici di incrementare l’importo delle loro richieste di riscatto.
Molti gruppi di ransomware, diffidando dell'attribuzione e delle relative accuse penali, hanno abbandonato del tutto il malware locker. Ora rubano enormi quantità di dati e propongono prezzi per la loro vendita e la loro eliminazione (quest’ultima opzione è particolarmente preoccupante per le vittime).
I criminali informatici possono adattare il loro modus operandi, ma il loro obiettivo rimane lo stesso: ottenere un accesso non autorizzato al tuo ambiente. Potrebbero passare dal malware locker al furto di dati, ma si tratta sempre di estorsione. Allo stesso modo, gli autori di attacchi BEC possono passare dalle frodi delle buste paga e dalle frodi fiscali a favore delle frodi delle transazioni B2B, ma si tratta sempre di BEC. Inoltre, un autore di attacchi BEC alla ricerca di una fattura non pagata e un gruppo ransomware (o forse si dovrebbe usare il termine “estorsione informatica”) che cerca di rubare i dati utilizzeranno le stesse tecniche, indipendentemente dalla loro strategia di monetizzazione.
Questi strumenti e tecniche sono gli stessi da anni: violazione delle credenziali d’accesso, furto d’identità, malware attivato dagli utenti, furti di dati, ecc. Indipendentemente dall’evoluzione futura del panorama delle minacce, è chiaro che non è ideale considerare ransomware, estorsione di dati, attacchi BEC e perdita di dati come categorie di rischio separate. In altre parole, rendendo più difficile l'utilizzo di questi strumenti e tecniche da parte di un hacker, i team preposti alla difesa hanno il vantaggio di complicare il compito di molteplici tipi di criminali informatici.
Un eterno riavvio
Ransomware finalizzati al furto di dati
Praticamente tutti gli attacchi ransomware implicano il furto di dati, il che ne fa la forma di estorsione più comune. In effetti, molti gruppi ransomware ora si concentrano esclusivamente sul furto dei dati e non crittografano le informazioni, né cercano di distruggerle.
Questo metodo di attacco è particolarmente problematico. Poiché i dati sono già al di là del tuo perimetro di difesa, non c'è alcuna garanzia di poterli recuperare. E anche in tal caso, potrebbero essere già stati venduti, divulgati o sfruttati in altri modi contro la tua azienda. Questo non aiuta a prendere la decisione giusta in merito al pagamento del riscatto.
Le aziende scelgono sempre più spesso di non pagarlo, una decisione che comporta gravi inconvenienti. Inoltre, poiché sempre meno aziende pagano il riscatto, i criminali informatici cercheranno di monetizzare gli attacchi in altri modi. Gli assicuratori in ambito informatico si rifiutano sempre più spesso di risarcire i propri clienti in caso di attacchi ransomware.
Per questo motivo, la maggior parte dei criminali informatici adotta lo stesso approccio: rubano una gran quantità di dati e li vendono sul Dark Web, chiedendo un riscatto per evitare che i dati diventino ancora più pubblici.
A breve termine, la migliore difesa consiste nel rilevare un potenziale attacco non appena di verifica e impedire l'esfiltrazione dei dati.
Gruppi di criminali informatici ben noti utilizzano tattiche di doppia o tripla estorsione:
- Gli strumenti BlackCat/ALPHV hanno sviluppato la capacità di danneggiare o distruggere i file esfiltrati. In questo caso i criminali informatici sono in possesso dell’unica copia funzionale dei dati.
- Black Basta utilizza la doppia estorsione per crittografare i dati riservati e minacciare di divulgarli se la vittima non paga il riscatto.
- LockBit usa tecniche di tripla estorsione per aumentare la pressione sulle vittime e spingerle a pagare il riscatto.
- BlackByte utilizza tecniche di estorsione sul Dark Web per consentire alla vittima di pagare per la rimozione dei propri dati o ad altri criminali informatici di acquistarli.
- Yanluowang (associato a LAPSUS$) ha violato l’account di rete privata virtuale (VPN) di un collaboratore e affermato di aver sottratto quasi 55 GB di dati.
Ransomware e attacchi BEC
Gli autori di attacchi BEC e i criminali che sfruttano il ransomware sono generalmente considerati come due gruppi distinti. Tuttavia, questo approccio rischia di complicare ulteriormente un panorama delle minacce già complesso.
Sebbene alcuni gruppi abbiano delle specializzazioni, delle competenze e un’infrastruttura che si presta a entrambi i tipi di attacco, per la maggior parte, le tattiche e le tecniche di base utilizzate sono le stesse.
Perciò, anche se i criminali informatici che utilizzano il ransomware e gli autori di attacchi BEC possono presentare caratteristiche leggermente diverse, da un punto di vista difensivo hanno molti punti in comune.
Nella maggior parte dei casi, questi tipi di criminali informatici ottengono o acquistano l’accesso iniziale a un ambiente utilizzando uno dei seguenti metodi:
- Phishing tramite email
- Protocollo RDP (Remote Desktop Protocol) che permette ai criminali informatici di assumere il controllo di un computer da remoto
- Malware stealer in grado di raccogliere token d’autenticazione, cookie e credenziali d’accesso
Inoltre, entrambi i tipi di criminali spesso utilizzano anche l’hijacking del thread di discussione per intromettersi in conversazioni legittime.
Qualunque sia la tecnica utilizzata, il fatto che presentino così tante analogie offre alle aziende un vantaggio significativo nello sviluppo di una strategia di difesa.
In definitiva, si cerca di bloccare le stesse attività, indipendentemente dal modo in cui un criminale informatico monetizza un attacco.
Una volta compreso questo aspetto, la protezione contro le minacce e la protezione delle informazioni non sono più due sfide separate con controlli unici. Ripensando alle nostre difese, possiamo rilevare e neutralizzare le principali minacce alla sicurezza attuali - attacchi BEC, ransomware e furto di dati - in modo molto più efficace.
Creare difese contro tutti i tipi di attacco
Le soluzioni di prevenzione della perdita dei dati e di protezione dalle minacce di vecchia generazione non sono in grado di affrontare gli attuali scenari di minaccia, in cui i criminali informatici violano gli account per rubare i dati. Gli strumenti che cercano indicatori di compromissione utilizzando regole di classificazione dei dati non sono più adatti allo scopo se utilizzati da soli.
I team preposti alla difesa devono ricercare segnali di rilevamento che caratterizzano il comportamento attuale dei criminali informatici. Ad esempio, l’identificazione di molteplici accessi con lo stesso cookie di sessione può indicare che un criminale informatico sfrutta credenziali d’accesso compromesse. Se poi sull’endpoint dello stesso utente viene installato uno strumento di archiviazione insolito, come 7zip o WinRAR, viene creato un enorme archivio in più parti o una grande quantità di dati viene trasferita su siti di condivisione di file nel cloud spesso utilizzati dai criminali informatici (come Mega), è arrivato il momento di avviare un processo di risposta agli incidenti.
I criminali informatici che sfruttano il ransomware sono opportunisti. Qualunque siano le loro motivazioni, privilegeranno sempre aziende con controlli di sicurezza deboli e utilizzeranno tecniche collaudate nel tempo. Cercheranno dispositivi VPN vulnerabili connessi a Internet, una porta RDP aperta o utenti propensi a fare clic su un link o a scaricare un allegato all’interno di un’email di phishing. E sanno che quest’ultima possibilità è la più facile da trovare.
Ecco perché la protezione contro i ransomware, l’estorsione dei dati e gli attacchi BEC - che sfruttano tutti le stesse tecniche di violazione delle credenziali, furto d’identità, malware attivati dall'utente e furto di dati - dipende dalle persone. I payload dannosi sono quasi sempre veicolati attraverso un attacco di social engineering, che richiede l'interazione umana. Quando proteggi i tuoi collaboratori, rafforzi la resilienza informatica e riduci le possibilità di successo di una moltitudine di attacchi informatici.
Se i criminali informatici non possono introdursi nella tua azienda, non possono crittografare i file, rubare i dati e interrompere l’attività. Sebbene non esista una soluzione miracolosa quando si tratta di sicurezza informatica, proteggere i tuoi collaboratori tenendo a bada le minacce e difendendo i tuoi dati è l’opzione che più vi si avvicina.
Proteggersi contro il ransomware con Proofpoint
Le nostre piattaforme integrate complete riducono il rischio di attacchi ransomware con diversi livelli di controlli che impediscono l’accesso iniziale e la perdita di dati.
Per saperne di più sulla protezione contro il ransomware offerta da Proofpoint.
Scopri il numero di “New Perimeters - Proteggi i tuoi collaboratori. Difendi i tuoi dati”.
Vuoi leggere articoli simili a questo? Mantieniti aggiornato sulle ultime novità in materia di sicurezza informatica con la nostra rivista esclusiva, New Perimeters. Puoi consultare la nostra rivista online, scaricarla per leggerla in un altro momento o ricevere una copia cartacea al tuo indirizzo.
Scarica gratuitamente New Perimeters, l’esclusiva rivista di Proofpoint, qui.