Cosa dovrebbero sapere i dirigenti sugli attacchi ransomware

20. Aprile 2022
| Non ci sono commenti
Cosa dovrebbero sapere i dirigenti sugli attacchi ransomware

Condividi post

Come la maggior parte delle industrie, i cybercriminali si sono adattati e sono cambiati negli ultimi due anni con il mutare delle circostanze. Hanno una vasta gamma di strumenti in evoluzione nel loro arsenale e sono in grado di sfruttare molti vettori per arrivare a destinazione: i preziosi dati aziendali. Gli esperti Varonis spiegano ciò che ogni dirigente deve sapere sui moderni attacchi ransomware.

È così che i moderni aggressori hanno imparato a lanciare campagne di ransomware ancora più dirompenti. Allo stesso tempo, sono diventati più efficienti e abili nell'evitare il processo. È così che i gruppi ransomware si raggruppano dopo una (rara) rottura, costruiscono una nuova infrastruttura e si danno un nuovo nome. Come DarkSide, il gruppo ransomware dietro diversi attacchi di alto profilo, ora probabilmente noto come BlackMatter. Spesso, dopo un tale riallineamento, i criminali informatici tornano più forti, imparando dalle loro esperienze e utilizzando nuove tecniche e vulnerabilità. Hanno una vasta gamma di strumenti in evoluzione nel loro arsenale e sono in grado di sfruttare molti vettori per arrivare a destinazione: i preziosi dati aziendali.

Lo smantellamento dell'infrastruttura di REvil da parte delle autorità russe e la confisca di almeno una parte del bottino è certamente degno di nota e incoraggiante. Naturalmente, questo non è un motivo per il cessato allarme: combattere i criminali informatici è come spegnere un incendio in una foresta arida. Può essere spento, ma può riaccendersi ovunque, in qualsiasi momento.

Ransomware come modello di business

L'estorsione informatica promette grandi profitti, guidando lo sviluppo e l'innovazione da parte dei criminali. I tentativi di regolamentare le criptovalute come Bitcoin e limitarne l'anonimato sembrano sensati ma difficili da applicare. Inoltre, gli aggressori stanno già utilizzando valute digitali come Monero, che sono più difficili da tracciare. Finché le condizioni sottostanti non cambiano radicalmente, le aziende dovrebbero presumere che le bande di ransomware continueranno a esistere, affinare le loro tecniche e prendere di mira i loro dati critici.

La maggior parte dei criminali informatici ora si affida all'efficiente modello ransomware-as-a-service (RaaS), che consente agli aggressori indipendenti di colpire rapidamente e iniziare. Puoi combinare questo servizio con i tuoi strumenti e le tue tecniche per attaccare efficacemente le vittime e tenere in ostaggio i loro dati. Gli aggressori perseguono sempre più l'approccio della "doppia estorsione", in cui i dati vengono rubati prima di essere crittografati per esercitare una pressione ancora maggiore sulle vittime minacciando la pubblicazione. Inoltre, gli aggressori ora minacciano spesso di denunciare alle autorità ufficiali per la protezione dei dati, sapendo che le aziende temono le multe lì minacciate e vogliono evitare di essere denunciate in pubblico.

Per massimizzare i loro profitti, gli aggressori setacciano i file delle loro vittime per stimare il loro margine finanziario e scoprire se e quanto pagherebbe la loro assicurazione informatica in caso di attacco. La richiesta di riscatto viene quindi impostata di conseguenza.

Approcci diversi, stesso obiettivo

Nel tempo, ogni gruppo sviluppa un modus operandi specifico. Ad esempio, BlackMatter manipola spesso i controlli di accesso, ovvero le impostazioni di sicurezza che determinano chi può accedere a quali dati sulla rete, in modo che ogni dipendente abbia accesso a enormi quantità di dati. In altre parole, non forzano il caveau, lo fanno saltare in aria, rendendo le organizzazioni ancora più vulnerabili agli attacchi futuri. Altri aggressori reclutano attivamente addetti ai lavori dell'azienda come dipendenti e altri che sono già sulla rete dell'azienda. I dipendenti insoddisfatti, in particolare, sono spesso inclini a questo. Per aumentare la pressione sulle vittime, alcuni criminali informatici rilasciano anche piccole quantità di dati rubati.

In questo modo è possibile rafforzare la difesa dal ransomware

Michael Scheffler, Country Manager DACH presso Varonis Systems (Immagine: Varonis).

Finché il ransomware promette enormi profitti per i criminali, continueranno a cercare e trovare vittime. Per le aziende, si tratta di non essere una vittima facile e di aumentare la propria resilienza contro le minacce relative ai dati.

  • Elimina le password deboli e riutilizzate e abilita l'autenticazione a più fattori (MFA). Questo passaggio importante è uno dei più semplici che puoi adottare per proteggere la tua attività. Molti gruppi, come BlackMatter, acquisiscono nomi utente e password sul dark web e li utilizzano per attacchi di forza bruta.
  • Riconosci le attività insolite. Nella maggior parte delle organizzazioni, dipendenti e appaltatori si attengono agli orari di lavoro giornalieri, accedono agli stessi file e utilizzano gli stessi dispositivi da posizioni note. Attività insolite, come l'accesso da una nuova posizione e l'accesso a file non necessari per il lavoro, possono indicare account o dispositivi compromessi. Le attività insolite, in particolare se associate agli account di gestione e di servizio, devono essere monitorate con priorità elevata e interrotte rapidamente se necessario.
  • Controlla i tuoi dati per i segni di attacchi ransomware. Il ransomware non si comporta come il tuo specialista delle risorse umane o il tuo team di contabilità. Quando il ransomware viene distribuito, inizia rapidamente ad aprire molti dati, valutarli e quindi, se necessario, crittografare anche questi file. Inoltre, i dipendenti crittografano legittimamente i file. Tuttavia, il malware tende a comportarsi in modo diverso rispetto a un utente umano, in genere modificando o crittografando i file in batch e ad alta frequenza. Questo accade spesso al di fuori dell'orario di lavoro. Ciò rende il riconoscimento molto più difficile e i file possono essere crittografati senza ostacoli.
  • Adotta un approccio incentrato sui dati. Nonostante l'esplosione degli endpoint, la maggior parte dei dati viene archiviata on-premise e nel cloud con datastore centralizzati di grandi dimensioni. Allo stesso tempo, c'è un numero enorme di vettori per ottenere questi dati. Anche se fossi in grado di anticiparli e monitorarli completamente, verresti probabilmente sommerso da avvisi di sicurezza. Piuttosto che iniziare "dall'esterno" con tutti gli endpoint e i vettori e procedere verso l'interno fino ai dati, ha molto più senso iniziare a proteggere i tuoi archivi di dati grandi e centralizzati.
  • La maggior parte delle aziende non sa quanti dati sono troppo facilmente accessibili e incustoditi. Un singolo utente compromesso ha il potenziale per accedere e compromettere grandi quantità di dati sensibili. Il rapporto sul rischio dei dati per il settore finanziario, che in realtà è sensibile alla sicurezza, mostra che ogni dipendente ha accesso a una media di quasi 11 milioni di file dal primo giorno di lavoro, e nelle aziende più grandi anche a circa 20 milioni: un'enorme esplosione raggio.

Se vuoi rendere la tua azienda resiliente, inizia con la tua risorsa più grande. Le aziende sanno cosa vogliono gli aggressori: i dati. Il modello di privilegi minimi consente alle aziende di concedere ai propri dipendenti solo l'accesso di cui hanno effettivamente bisogno per il loro lavoro. Limitando sistematicamente l'accesso ai dati e monitorandoli più da vicino, si rende molto più difficile per gli aggressori.

Altro su Varonis.com

 

A proposito di Varoni

Fin dalla sua fondazione nel 2005, Varonis ha adottato un approccio diverso nei confronti della maggior parte dei fornitori di sicurezza IT ponendo i dati aziendali archiviati sia on-premise che nel cloud al centro della sua strategia di sicurezza: file ed e-mail sensibili, informazioni riservate su clienti, pazienti e pazienti Documenti dei dipendenti, documenti finanziari, piani strategici e di prodotto e altra proprietà intellettuale. La Varonis Data Security Platform (DSP) rileva le minacce interne e gli attacchi informatici analizzando i dati, l'attività dell'account, la telemetria e il comportamento degli utenti, previene o mitiga le violazioni della sicurezza dei dati bloccando i dati sensibili, regolamentati e obsoleti e mantiene uno stato sicuro dei sistemi attraverso un'efficiente automazione.,

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Sicurezza informatica: base per LockBit 4.0 disinnescata

Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

racconti
, , , , ,