Trace Id is missing

Ransomware as a Service: il nuovo volto del crimine informatico industrializzato

Condividi
Due frecce sovrapposte su una linea e puntate l'una verso l'altra in un percorso diverso

 Il nuovo modello di business del crimine informatico, ovvero gli attacchi con intervento umano, incoraggia criminali con diverse competenze.

Il ransomware, una delle minacce informatiche più costanti e pervasive, continua a evolversi e la sua forma più recente rappresenta una nuova minaccia per le organizzazioni di tutto il mondo. L'evoluzione del ransomware non implica nuovi progressi tecnologici. Si tratta invece di un nuovo modello di business: il Ransomware as a Service (RaaS).

Il Ransomware as a Service è un accordo tra un operatore, che sviluppa e gestisce gli strumenti per alimentare le operazioni di estorsione, e un affiliato, che distribuisce il payload del ransomware. Quando l'affiliato porta a termine con successo un attacco ransomware a fini di estorsione, entrambe le parti ne traggono profitto.

Il modello RaaS riduce le difficoltà all'ingresso per gli utenti malintenzionati che potrebbero non avere le competenze o i mezzi tecnici per sviluppare i propri strumenti, ma possono gestire test di penetrazione e strumenti di amministrazione di sistema già pronti per eseguire attacchi. Questi criminali di basso rango possono anche semplicemente acquistare l'accesso alla rete da un gruppo criminale più sofisticato che ha già violato un perimetro.

Sebbene gli affiliati RaaS utilizzino payload di ransomware forniti da operatori più sofisticati, non fanno parte della stessa "gang" di ransomware. Si tratta piuttosto di imprese distinte che operano nel panorama dell'economia criminale informatica.

Aumento delle competenze dei criminali informatici e crescita dell'economia criminale informatica

Il modello del Ransomware as a Service ha accelerato il perfezionamento e l'industrializzazione delle attività realizzabili dai criminali meno competenti. In passato, questi criminali meno sofisticati potrebbero aver utilizzato malware commerciale creato da loro o acquistato per eseguire attacchi di portata limitata, ma ora possono ottenere tutto ciò di cui hanno bisogno, dall'accesso alle reti ai payload di ransomware, dai loro operatori RaaS (a pagamento, ovviamente). Molti programmi RaaS includono inoltre un gruppo di offerte di supporto all'estorsione, tra cui l'hosting di leak site e l'integrazione nelle richieste di riscatto, nonché la negoziazione della decrittografia, la pressione sui pagamenti e i servizi di transazione di criptovaluta.

Ciò significa che l'impatto di un attacco ransomware a fini di estorsione riuscito rimane lo stesso indipendentemente dalle competenze dell'utente malintenzionato.

Individuazione e sfruttamento delle vulnerabilità della rete... a pagamento

Un modo in cui gli operatori RaaS forniscono valore ai propri affiliati è fornendo l'accesso a reti compromesse. I broker di accesso scansionano Internet alla ricerca di sistemi vulnerabili, che possono compromettere e riservare per profitti successivi.

Per riuscire nel loro intento, gli utenti malintenzionati hanno bisogno di credenziali. Le credenziali compromesse sono talmente importanti per questi attacchi che, quando i criminali informatici vendono l'accesso alla rete, in molti casi, il prezzo include un account amministratore garantito.

Ciò che i criminali fanno con l'accesso una volta ottenuto può variare notevolmente a seconda dei gruppi e dei loro carichi di lavoro o delle loro motivazioni. Il tempo che intercorre tra l'accesso iniziale e la distribuzione hands-on-keyboard può quindi variare da minuti a giorni o anche di più, ma quando le circostanze lo consentono, il danno può essere inflitto a una velocità incredibile. In effetti, è stato osservato che il tempo che intercorre tra l'accesso iniziale e il riscatto completo (incluso il trasferimento da un broker di accesso a un affiliato RaaS) richiede meno di un'ora.

Mantenimento dell'economia in movimento: metodi di accesso persistenti e subdoli

Una volta che gli utenti malintenzionati riescono ad accedere a una rete, sono restii ad andarsene, anche dopo aver incassato il riscatto. In effetti, il pagamento del riscatto potrebbe non ridurre il rischio per una rete colpita e potenzialmente serve solo a finanziare i criminali informatici, che continueranno a tentare di monetizzare gli attacchi con diversi payload di malware o di ransomware finché non verranno bloccati.

Il passaggio che avviene tra diversi utenti malintenzionati man mano che si verificano le transizioni nell'economia criminale informatica significa che più gruppi di attività possono persistere in un ambiente utilizzando vari metodi diversi dagli strumenti utilizzati in un attacco ransomware. Ad esempio, l'accesso iniziale ottenuto da un trojan bancario porta alla distribuzione di Cobalt Strike, ma l'affiliato RaaS che ha acquistato l'accesso può scegliere di usare uno strumento di accesso remoto come TeamViewer per gestire la propria campagna.

L'utilizzo di strumenti e impostazioni legittimi per persistere nell'attacco rispetto agli impianti malware come Cobalt Strike è una tecnica popolare tra gli utenti malintenzionati che usano ransomware per evitare il rilevamento e restare in una rete più a lungo.

Un'altra tecnica comune tra gli utenti malintenzionati consiste nel creare nuovi account utente backdoor, locali o in Active Directory, che è possibile poi aggiungere a strumenti di accesso remoto come una rete privata virtuale (VPN) o Desktop remoto. È stato anche osservato che gli utenti malintenzionati che usano ransomware modificano le impostazioni sui sistemi per abilitare Desktop remoto, per ridurre la sicurezza del protocollo e per aggiungere nuovi utenti al gruppo utenti di Desktop remoto.

Diagramma di flusso che spiega come vengono pianificati e implementati gli attacchi RaaS

Gestione degli antagonisti più inafferrabili e astuti del mondo

Una delle qualità del RaaS che rende la minaccia così preoccupante è la sua dipendenza dagli utenti malintenzionati che possono prendere decisioni informate e calcolate e variare i modelli di attacco in base a ciò che trovano nelle reti in cui penetrano, assicurandosi di raggiungere i loro obiettivi.

Microsoft ha coniato il termine ransomware con intervento umano per definire questa categoria di attacchi come una catena di attività che culmina in un payload di ransomware, non come un insieme di payload di malware da bloccare.

Mentre la maggior parte delle campagne di accesso iniziale si basa sulla ricognizione automatizzata, una volta che l'attacco passa alla fase hands-on-keyboard, gli utenti malintenzionati sfruttano le proprie conoscenze e competenze per cercare di aggirare i prodotti di sicurezza presenti nell'ambiente.

Gli attacchi ransomware sono motivati da profitti facili, quindi aggiungere al loro costo la fatica di superare le misure di sicurezza è fondamentale per colpire l'economia criminale informatica. Questo processo decisionale umano significa che, anche se i prodotti di sicurezza rilevano fasi specifiche dell'attacco, gli utenti malintenzionati stessi non vengono espulsi completamente. Anzi, questi tentano di continuare se non vengono bloccati da un controllo di sicurezza. In molti casi, se uno strumento o un payload viene rilevato e bloccato da un prodotto antivirus, gli utenti malintenzionati usano semplicemente uno strumento diverso o modificano il proprio payload.

Gli utenti malintenzionati sono inoltre consapevoli dei tempi di risposta del centro operazioni per la sicurezza (SOC) e delle capacità e limitazioni degli strumenti di rilevamento. Nel momento in cui l'attacco raggiunge la fase di eliminazione dei backup o delle copie shadow, mancano pochi minuti alla distribuzione del ransomware. L'antagonista ha probabilmente già eseguito azioni dannose come l'esfiltrazione dei dati. Questa conoscenza è fondamentale per i SOC che rispondono al ransomware: analizzare i rilevamenti come Cobalt Strike prima della fase di distribuzione del ransomware ed eseguire azioni di rimedio rapide e procedure di risposta agli incidenti (IR) sono passaggi fondamentali per contrastare un antagonista umano.

Potenziamento della sicurezza contro le minacce senza un sovraccarico di avvisi

Una strategia di sicurezza duratura contro determinati antagonisti umani deve includere obiettivi di rilevamento e mitigazione. Non è sufficiente fare affidamento solo sul rilevamento perché 1) alcuni eventi di infiltrazione sono praticamente impossibili da rilevare (sembrano molteplici azioni innocue) e 2) non è raro che gli attacchi ransomware vengano trascurati a causa del sovraccarico causato da diversi avvisi nei prodotti di sicurezza.

Poiché gli utenti malintenzionati hanno diversi modi per eludere e disabilitare i prodotti di sicurezza e sono in grado di imitare comportamenti innocui degli amministratori per mimetizzarsi il più possibile, i team di sicurezza IT e i SOC dovrebbero supportare il loro impegno nel rilevamento con misure di potenziamento della sicurezza.

Gli attacchi ransomware sono motivati da profitti facili, quindi aggiungere al loro costo la fatica di superare le misure di sicurezza è fondamentale per colpire l'economia criminale informatica.

Ecco alcune misure che le organizzazioni possono adottare per proteggersi:

 

  • Creazione di un'igiene delle credenziali: sviluppa una segmentazione della rete logica basata sui privilegi che è possibile implementare lungo la segmentazione della rete per limitare il movimento laterale.
  • Controllo dell'esposizione delle credenziali: il controllo dell'esposizione delle credenziali è fondamentale per prevenire gli attacchi ransomware e il crimine informatico in generale. I team di sicurezza IT e i SOC possono collaborare per ridurre i privilegi amministrativi e comprendere il livello al quale vengono esposte le credenziali.
  • Rafforzamento del cloud: dato che gli utenti malintenzionati puntano le risorse cloud, è importante proteggere le risorse cloud e le identità insieme agli account locali. I team di sicurezza devono concentrarsi sulla protezione dell'infrastruttura delle identità di sicurezza, applicando l'autenticazione a più fattori per tutti gli account e trattando gli amministratori cloud/amministratori tenant con lo stesso livello di sicurezza e igiene delle credenziali degli amministratori di dominio.
  • Risoluzione dei punti ciechi nella sicurezza: le organizzazioni devono verificare che gli strumenti di sicurezza usati siano configurati in modo ottimale ed eseguire analisi della rete periodiche per garantire che un prodotto di sicurezza protegga tutti i sistemi.
  • Riduzione della superficie di attacco: definisci regole di riduzione della superficie di attacco per impedire tecniche di attacco comuni usate negli attacchi ransomware. Negli attacchi osservati da diversi gruppi di attività associati a ransomware, le organizzazioni con regole chiaramente definite sono state in grado di mitigare gli attacchi alle fasi iniziali impedendo al contempo la manomissione dell'attività hands-on-keyboard.
  • Valutazione del perimetro: le organizzazioni devono identificare e proteggere i sistemi perimetrali che gli utenti malintenzionati potrebbero usare per accedere alla rete. Per accrescere i dati, è possibile usare le interfacce di analisi pubbliche.
  • Rafforzamento degli asset con accesso a Internet: gli utenti malintenzionati di ransomware e i broker di accesso usano vulnerabilità senza patch, già divulgate o zero-day, soprattutto nella fase di accesso iniziale. Inoltre, adottano rapidamente nuove vulnerabilità. Per ridurre ulteriormente l'esposizione, le organizzazioni possono utilizzare le funzionalità di gestione di minacce e vulnerabilità nei prodotti di rilevamento e reazione dagli endpoint per individuare, classificare in ordine di priorità e correggere vulnerabilità ed errori di configurazione.
  • Preparazione al ripristino: la migliore difesa contro il ransomware include piani di ripristino rapido in caso di attacco. Il ripristino da un attacco costerà meno che il pagamento di un riscatto, quindi assicurati di eseguire backup regolari dei tuoi sistemi critici e di proteggere tali backup dalla cancellazione e dalla crittografia intenzionali. Se possibile, archivia i backup in un sistema online di archiviazione non modificabile o completamente offline o fuori sede.
  • Ulteriore difesa dagli attacchi ransomware: la minaccia multiforme della nuova economia del ransomware e la natura elusiva degli attacchi ransomware con intervento umano richiedono che le organizzazioni adottino un approccio globale alla sicurezza.

I passaggi sopra descritti aiutano a difendersi dai modelli di attacco comuni e contribuiranno notevolmente a prevenire gli attacchi ransomware. Per rafforzare ulteriormente le difese contro il ransomware tradizionale e con intervento umano e altre minacce, usa strumenti di sicurezza in grado di fornire una visibilità dettagliata tra domini e funzionalità di indagine unificate.

Per un'ulteriore panoramica del ransomware completa di suggerimenti e procedure consigliate per la prevenzione, il rilevamento e il rimedio, consulta la pagina dedicata alla protezione della tua organizzazione dal ransomware. Inoltre, se desideri avere informazioni ancora più approfondite sul ransomware con intervento umano, leggi l'articolo Ransomware-as-a-service: Understanding the cybercrime gig economy and how to protect yourself (Ransomware as a service: comprendere la gig economy del crimine informatico e come proteggersi) della Senior Security Researcher Jessica Payne.

Articoli correlati

Problema 2 Cyber Signals: Economia basata sull'estorsione

Scopri cosa dicono gli esperti sul campo in merito allo sviluppo del Ransomware as a Service. Dai programmi e i payload ai broker di accesso e affiliati, scopri gli strumenti, le tattiche e i target preferiti dai criminali informatici e ottieni indicazioni su come proteggere la tua organizzazione.
Scopri di più

Profilo dell'esperto: Nick Carr

Nick Carr, Cybercrime Intelligence Team Lead presso il Microsoft Threat Intelligence Center, parla delle tendenze relative al ransomware, spiega cosa sta facendo Microsoft per proteggere i clienti e descrive cosa possono fare le organizzazioni se vengono colpite da questo tipo di attacco.
Scopri di più

Proteggi la tua organizzazione dal ransomware

Ottieni una panoramica dei criminali che operano nell'ambito dell'economia basata su ransomware sotterranea. Ti aiuteremo a comprendere le motivazioni e i meccanismi degli attacchi ransomware e ti forniremo le procedure consigliate di protezione, backup e ripristino.
Scopri di più