Il ransomware si è evoluto nel tempo. Quanto è illustrato dall'attacco ransomware Colonial Pipeline, che è solo una parte di una nuova ondata di attacchi contro vittime di alto livello. Un commento di Jon Clay, Direttore Global Threat Communications, Trend Micro.
Dopo l'attacco informatico a uno dei più grandi oleodotti degli Stati Uniti, le operazioni sono state temporaneamente sospese. Gli attori malintenzionati cercano le tariffe di estorsione più alte possibili, quindi prendono di mira le organizzazioni che sono più disposte a pagare se interrompono le loro operazioni. Ciò è stato precedentemente osservato nelle vittime del governo e dei settori dell'istruzione. Più sofferenze i criminali possono infliggere a un'organizzazione, più è probabile che la vittima paghi. Cosa possono fare le aziende?
Gli attacchi ransomware hanno attraversato molte fasi e ora stiamo osservando la fase 4:
1a fase: Semplicemente ransomware, i file vengono crittografati e poi viene fatta la richiesta di riscatto... e poi si attende il pagamento in bitcoin.
2a fase: Doppia estorsione. Fase 1 + esfiltrazione di dati e minaccia di divulgazione. Maze è stato il primo ransomware a farlo e gli altri gruppi di attori hanno seguito l'esempio.
3a fase: Tripla estorsione. Fase 1 + Fase 2 e minaccia di DDoS. Avaddon è stato il primo caso documentato.
4a fase: Ricatto quadruplo. Fase 1 + (possibilmente Fase 2 o Fase 3) + direct mailing alla clientela della vittima. Cl0p è stato usato per la prima volta in questo modo, ha descritto Brian Krebs.
Per lo più doppia estorsione oggi, ma stiamo assistendo a uno spostamento verso il targeting di sistemi aziendali critici. In questo recente caso statunitense, nessun sistema OT sembra essere stato colpito, ma i sistemi IT connessi alla rete sono stati probabilmente presi di mira. Tuttavia, ciò potrebbe cambiare poiché molte organizzazioni dispongono di una rete OT che è fondamentale per le loro operazioni e quindi potrebbe diventare un obiettivo. Abbiamo già delineato come le aziende manifatturiere vengono attaccate con ransomware moderno e qual è l'impatto.
conseguenze per le aziende
Il malfunzionamento dei sistemi che controllano le operazioni quotidiane di un'azienda può causare danni finanziari e di reputazione. Ma un attacco potrebbe anche avere conseguenze indesiderate prendendo di mira troppo in vista, e l'attacco Colonial Pipeline potrebbe essere un esempio. Distruggere un pezzo importante dell'infrastruttura critica di una nazione, anche se il movente è “solo” un guadagno finanziario, potrebbe portare a gravi azioni contro gli attori dietro l'attacco. Pertanto, in futuro, gli attori malintenzionati potrebbero dover valutare il potenziale impatto dell'attacco sul loro obiettivo e decidere se ha senso dal punto di vista commerciale lanciare un attacco.
Le opportune contromisure
Il ransomware continuerà a essere utilizzato in futuro. Pertanto, le organizzazioni devono dedicare del tempo alla creazione di un piano di risposta agli incidenti che affronti il nuovo modello di attacchi ransomware. Alcune cose dovrebbero essere considerate:
- Accetta che la tua azienda possa diventare una vittima. Qualsiasi organizzazione può essere potenzialmente sul radar di malintenzionati, ma coloro che operano in infrastrutture critiche devono ora valutare la probabilità di essere attaccati.
- Access-as-a-Service è ora utilizzato regolarmente. In questo caso, un altro gruppo di solito esegue il primo accesso e lo vende a un altro gruppo. Gli aggressori determinati troveranno sempre un modo per entrare nella tua rete, tramite phishing, un sistema vulnerabile esposto a Internet o un attacco alla catena di fornitura.
- L'uso dannoso di strumenti legittimi è una delle tattiche più popolari durante il ciclo di attacco.
- Le credenziali dell'account dei tuoi amministratori e applicazioni importanti sono prese di mira.
- Gli attori del ransomware tentano di sottrarre dati che sembrano suscettibili di ricatto a doppia canna.
- Il componente ransomware sarà l'ultima opzione nell'attività dannosa perché è la parte più visibile di un ciclo di attacco e mostra alla vittima che un sistema è stato compromesso.
Le aziende che gestiscono reti OT dovrebbero riflettere sui seguenti punti:
- Comprendi i rischi se la tua rete OT si interrompe.
- Impostare un modello di sicurezza per i dispositivi nella rete OT, in particolare quelli che non supportano un agente di sicurezza.
- La segmentazione della rete è fondamentale.
- Se la tua rete OT deve essere chiusa a causa di una compromissione della rete IT, dovresti considerare come superare questa limitazione.
Questo ultimo attacco è un altro campanello d'allarme per tutte le organizzazioni per rafforzare le loro reti contro gli attacchi e migliorare la loro consapevolezza quando gli attori malintenzionati sono sulla loro rete. Disponiamo di una piattaforma di sicurezza informatica a più livelli, Trend Micro Vision One, che può aiutare a migliorare il rilevamento e la risposta agli ultimi attacchi ransomware e aumentare la visibilità.