Lo specialista Sophos conosce fin troppo bene il processo e le conseguenze di un attacco ransomware riuscito. Dal punto di vista della vittima: ecco come funziona un attacco ransomware.
Nessuna organizzazione vuole diventare una vittima del crimine informatico. Ma se ci sono vulnerabilità, è probabile che gli aggressori le trovino e le sfruttino. E possono passare mesi o anche di più prima che la vittima si accorga della condizione. I cosiddetti incident responder aiutano le aziende a identificare, bloccare e mitigare gli attacchi e i loro effetti. Questo monitoraggio da parte di specialisti consente anche un'analisi precisa dei modelli di attacco e, di conseguenza, una visione ravvicinata di come il crimine informatico colpisce effettivamente le vittime.
Il vero avversario è l'uomo, non la macchina
Gli aggressori stanno diventando sempre più abili nello stealth per evitare di sollevare sospetti tra i team di sicurezza e per non essere scoperti. Pertanto, sono necessari diversi livelli di sicurezza che rompono la catena di attacco in luoghi diversi. Mentre la violazione iniziale è automatizzata, gli hacker utilizzano quindi strumenti IT legittimi, come gli scanner di rete, per i loro scopi illegali al fine di aggirare le tecnologie di sicurezza e spostarsi lateralmente attraverso la rete. La sfida per le vittime è che i team di sicurezza IT devono essere estremamente vigili nella valutazione di strumenti legittimi, ma anche popolari e comunemente utilizzati dagli aggressori. Inoltre, gli aggressori compromettono regolarmente gli account degli amministratori esistenti per nascondersi in bella vista. Se vengono fermati nei loro attacchi, provano qualcos'altro. Ed è qui che si svela uno degli aspetti più importanti del cybercrime, ancora troppo sottovalutato dalle vittime: non si combatte il codice malware, si combattono le persone.
Il ransomware è il finale di un attacco informatico
Secondo i soccorritori, molte vittime ritengono che si sia verificato un attacco appena prima che diventasse visibile, ad esempio attraverso il messaggio ransomware. Tuttavia, questo è molto raramente il caso. In effetti, gli aggressori di solito sono nella rete da un po' di tempo prima di questo momento. Operano nascosti sotto il radar, scansionando il sistema, installando backdoor e rubando informazioni. Tutte queste attività sono indicatori che devono essere controllati per facilitare il pieno recupero dall'attacco. La parte dell'attacco che fa più scattare il campanello d'allarme è il lancio di ransomware. A questo punto, l'aggressore ha successo in tutti i metodi di cui sopra nella rete della vittima (vedere il grafico dei diversi comportamenti del ransomware), consentendogli di rompere la copertura ed essere presente. In altre parole, l'implementazione del ransomware segna la fine di un attacco, non l'inizio.
Le vittime e gli aggressori sono esposti a grande stress
Circa il novanta percento degli attacchi osservati dai soccorritori coinvolge ransomware e l'impatto di questi attacchi è spesso devastante. Ciò è particolarmente vero per le organizzazioni critiche, come le strutture sanitarie, dove un attacco riuscito può significare interventi chirurgici annullati, raggi X mancanti, risultati di screening del cancro crittografati e altro ancora.
Alcune vittime si sentono impotenti e considerano il pagamento del riscatto come l'unica opzione, ad esempio per riottenere l'accesso ai backup dei dati dirottati dagli aggressori. Altre organizzazioni scelgono di non pagare. Altri ancora sono più preoccupati per il danno alla loro reputazione (pubblicazione di dati rubati) che per il riscatto per le chiavi di decrittazione. Il ransomware stesso varia da professionale e sofisticato a scadente e di bassa qualità. Le analisi dei ransomware hanno dimostrato che gli attacchi non sono solo estenuanti e intimidatori per le vittime, ma che anche i criminali sono sempre più sotto "stress da successo": molestano sempre più le aziende che si rifiutano di pagare.
Sfida di ricostruzione: trova la fonte
I dati dei risponditori di incidenti suggeriscono anche che molte vittime hanno difficoltà a comprendere il movimento del ransomware attraverso l'organizzazione. C'è un presupposto generale che dal suo punto di partenza si espanda automaticamente in tutte le direzioni della rete, quando in realtà si concentra strategicamente su un elenco preselezionato di dispositivi e aree di rete. Mostra anche che gli aggressori non solo prendono di mira documenti e altri dati, ma vogliono semplicemente disabilitare i dispositivi e i sistemi a tal punto da avere risorse sufficienti solo per avviare la notifica del ransomware.
Per le vittime di un attacco, ciò significa che il ripristino del sistema non inizia con il ripristino di un backup e la ricerca di ciò che hanno fatto gli aggressori. Il processo di ripristino inizia spesso con la sfida significativa di ricostruire tutte le macchine interessate. E con esso il difficile compito di identificazione: da dove è partito l'attacco e forse i criminali sono ancora nel sistema?
Difesa dal pericolo solo con macchina e uomo
Le telecamere di sorveglianza possono registrare i crimini e scoraggiare gli autori, ma non possono fermare l'irruzione. Decisivo è l'intervento delle forze dell'ordine, che seguono in diretta le registrazioni e prendono i provvedimenti opportuni. Poiché i criminali informatici sono diventati più furtivi e hanno migliorato la loro capacità di utilizzare strumenti e processi legittimi, il valore del fattore umano nella caccia alle minacce è aumentato. Questo metodo combina algoritmi avanzati di software di sicurezza all'avanguardia con l'esperienza umana quotidiana in grado di valutare le sfumature di un attacco, un'abilità che il software non possiede (ancora).
Ulteriori informazioni su Sophos.com[stellaboxid=15]