Le offerte "As-a-Service" possono essere trovate ovunque nell'IT. Anche i criminali informatici hanno adattato questa idea di servizio e da tempo offrono ransomware-as-a-service, in breve RaaS. Ciò significa che gli aggressori meno sofisticati possono anche eseguire attacchi ransomware. Il numero di attacchi aumenta così tanto. Un'analisi di Arctic Wolf.
Come un Studio dell'associazione digitale Bitcom eV mostra, l'2020% di tutte le aziende è stato colpito da attacchi ransomware nel 21/88. Il boom del lavoro da remoto, dell'home office, della cloudificazione e dei dispositivi IoT in rete sta facendo il gioco degli aggressori, poiché queste tendenze aumentano la superficie di attacco e offrono nuovi gateway.
In tali attacchi, i criminali informatici irrompono nei sistemi aziendali e rubano e/o crittografano determinate informazioni. Per poter decrittografare nuovamente questi dati, viene quindi richiesto un riscatto. Oltre al notevole danno finanziario causato dal pagamento o dai processi di recupero, tali attacchi possono anche portare a enormi danni reputazionali. La maggior parte di questi attacchi (stimati 64 per cento) stanno già avvenendo utilizzando il metodo RaaS e la tendenza è in aumento.
Un servizio dal lato oscuro
Nel caso delle offerte RaaS, gruppi ransomware come Conti, REvil o RagnarLocker e i loro gruppi scissionisti e successori forniscono gli strumenti o le piattaforme appropriati, nonché servizi supplementari come istruzioni, best practice e persino un helpdesk IT. Sebbene i nomi dei gruppi siano molto volatili, gli attori effettivi spesso rimangono gli stessi. Agiscono in modo altamente professionale e non hanno nulla a che fare con il comune cliché degli hacker del lupo solitario con la felpa con cappuccio. In effetti, difficilmente si distinguono dalle aziende rispettabili: con il proprio dipartimento delle risorse umane, programmi di bonus e premi per "Impiegato del mese", come recentemente un trucco ha mostrato.
Cyber gangster con struttura aziendale
I servizi di solito possono essere trovati tramite il deep web o il dark web. I fornitori a volte differiscono notevolmente in ciò che offrono. Proprio come con i fornitori di servizi affidabili, anche le bande RaaS offrono tutto ciò che un cuore (criminale) desidera, dal semplice acquisto di ransomware a un modello di abbonamento. I fornitori offrono anche diversi modelli per quanto riguarda la strategia dei prezzi: da un pagamento una tantum all'acquisto a modelli di leasing e quote del riscatto.
Le criptovalute come Bitcoin, Monero e Co. sono un fattore chiave di successo per gli attacchi RaaS, in quanto sono difficili da rintracciare e possono essere "riciclate" relativamente facilmente. In quanto tali, sono eccellenti per i pagamenti RaaS e le richieste di riscatto, ed è improbabile che siano recenti Diminuzione del prezzo della criptovaluta molto cambierà. I prezzi in calo vengono semplicemente compensati nella fase di negoziazione con la vittima.
Cosa fare quando le cose si fanno serie?
La crittografia dei sistemi e la minaccia di pubblicare i dati acquisiti, come informazioni sui clienti, dettagli sui prodotti e dati finanziari, possono minacciare l'esistenza delle aziende. Questo è ciò che rende RaaS così attraente e rende il ransomware una merce di scambio incredibilmente potente nelle mani dei criminali informatici. Se un attacco ransomware ha avuto successo, molte aziende sono spesso in perdita all'inizio. Disperati e impotenti, spesso non hanno altra scelta che soddisfare la richiesta di riscatto, sebbene LKA, BKA e BSI lo sconsigliano severamente, per non finanziare ulteriormente la criminalità organizzata e creare motivazione per ulteriori crimini. Ma come dovrebbero reagire le aziende?
Dopo l'attacco, conta il riposo
Prima di tutto, mantieni la calma! L'attacco acuto non è il momento giusto per attribuire colpe. Piuttosto, è giunto il momento di lavorare insieme e non agire frettolosamente. Le autorità competenti dovrebbero essere informate immediatamente (sono anche disponibili a fornire consulenza). Se un'azienda dispone già di un piano di emergenza, dovrebbe essere seguito. Il passo successivo è analizzare e riflettere sulla situazione e quindi avviare le necessarie contromisure. Se le risorse interne e le competenze mancano in questa situazione eccezionale, le aziende possono anche rivolgersi all'aiuto professionale di fornitori di servizi di sicurezza esterni come lupo artico ripiegare su.
- Il primo passo è chiarire la situazione attuale. Ciò significa l'attuazione di Risposta agli incidenti- Misure per fermare l'ulteriore diffusione dell'incidente.
- Una volta chiarito lo status quo, devono farlo entità del danno e opzioni di ripristino essere determinato. Quali backup sono ancora disponibili e devono essere portati offline? Quali servizi sono interessati, quali dati sono crittografati e quali azioni di ripristino devono essere intraprese?
- Una volta che queste domande hanno avuto risposta, il terzo passo è farlo Informazioni sull'intelligence sulle minacce raccogliere tutte le informazioni sugli aggressori, sul malware utilizzato e su incidenti simili.
- Nella quarta fase, il Business Case impostare - la richiesta di riscatto dovrebbe essere soddisfatta o no? Tutti gli aspetti vanno soppesati con molta attenzione: capitale della società, eventuali danni reputazionali, azioni legali, ecc.
- Nella quinta e ultima fase, ci mettiamo al lavoro: il Trattative con i criminali informatici. Ci sono due punti da notare qui: i negoziati sono in corso con i criminali, cioè non ci sono garanzie. Tuttavia, la cortesia è richiesta per non infastidire inutilmente l'altra persona.
Ransomware: prevenire è meglio che curare
Indipendentemente dal fatto che il riscatto sia stato pagato o meno, il caso dovrebbe essere ben elaborato per posizionare meglio l'azienda in futuro. Dopo l'attacco, tutti i sistemi dovrebbero quindi essere prima accuratamente scansionati e puliti e i dati di accesso di tutti gli utenti dovrebbero essere riassegnati. Inoltre, dovrebbe seguire una caccia intensiva o un monitoraggio pubblico, oscuro e profondo del web per garantire che nessun dato sia stato realmente pubblicato.
Ultimo ma non meno importante: meglio prevenire che curare! “La migliore protezione contro gli attacchi ransomware è una buona preparazione. Le lacune di sicurezza e le debolezze del sistema dovrebbero essere colmate con patch regolari e dovrebbe essere effettuato un monitoraggio completo della sicurezza. Come spesso accade, la più grande debolezza è il fattore umano. La misura più importante è quindi formare regolarmente i dipendenti e stabilire così una mentalità di sicurezza in azienda. Se l'azienda non dispone delle risorse interne necessarie per questo, può rivolgersi a esperti di sicurezza affidabili - come Arctic Wolf - che la supportano nell'implementazione di queste misure di sicurezza. Se si tiene conto di tutto ciò, l'azienda è ben preparata per un'emergenza”. secondo il dott. Sebastian Schmerl, Direttore dei servizi di sicurezza EMEA, Arctic Wolf.
Altro su ArcticWolf.com
A proposito di lupo artico Arctic Wolf è un leader globale nelle operazioni di sicurezza, fornendo la prima piattaforma di operazioni di sicurezza nativa del cloud per mitigare il rischio informatico. Sulla base della telemetria delle minacce che copre endpoint, rete e fonti cloud, Arctic Wolf® Security Operations Cloud analizza più di 1,6 trilioni di eventi di sicurezza alla settimana in tutto il mondo. Fornisce informazioni critiche per l'azienda su quasi tutti i casi d'uso della sicurezza e ottimizza le soluzioni di sicurezza eterogenee dei clienti. La piattaforma Arctic Wolf è utilizzata da oltre 2.000 clienti in tutto il mondo. Fornisce rilevamento e risposta automatizzati alle minacce, consentendo alle organizzazioni di tutte le dimensioni di impostare operazioni di sicurezza di livello mondiale con la semplice pressione di un pulsante.
Articoli relativi all'argomento