Trace Id is missing

Economia basata sull'estorsione

Un labirinto bianco con puntini e cerchi colorati

Problema 2 Cyber Signals: Nuovo modello di business del ransomware

Mentre il ransomware continua a essere un argomento centrale, esiste un ecosistema connesso, relativamente piccolo, di attori che guidano il settore dell'economia del crimine informatico. La specializzazione e il consolidamento dell'economia del crimine informatico ha fatto in modo che Ransomware-as-a-service (RaaS) diventassi un modello aziendale dominante, consentendo a una più ampia gamma di criminali di distribuire ransomware, indipendentemente dalla loro esperienza tecnica.
In più dell'80% di attacchi ransomware è possibile notare errori di configurazione comuni nel software e nei dispositivi.1

Guarda il briefing digitale di Cyber Signals in cui Vasu Jakkal, CVP of Microsoft Security, intervista i principali esperti di intelligence sulle minacce riguardo l'economia del ransomware e il modo in cui le organizzazioni possono proteggersi.

Briefing digitale: Proteggersi dall'economia dei ransomware

Il nuovo modello aziendale offre dati analitici aggiornati per i difensori

Proprio come molti settori sono passati ai gig worker per una maggiore efficienza, anche i criminali informatici stanno noleggiando o vendendo i propri strumenti di ransomware per una porzione dei profitti, invece che compiere gli attacchi personalmente.

Il modello Ransomware-as-a-Service consente ai criminali informatici di acquisire l'accesso ai payload ransomware e alle fuoriuscite di dati oltre che all'infrastruttura di pagamento. Le "gang" ransomware sono in realtà programmi RaaS come Conti, o REvil, usati da diversi attori che passano da un programma e payload RaaS all'altro.

Il modello RaaS riduce le barriere all'ingresso e offusca l'identità degli utenti malintenzionati dietro il ransoming. Alcuni programmi hanno più di 50 "affiliati", come raccontano agli utenti del servizio, con diversi strumenti, tecniche commerciali e obiettivi. Proprio come chiunque abbia una macchina possa guidare per un servizio di ridesharing, chiunque con un portatile e una carta di credito può cercare nel dark web strumenti di test di penetrazione o malware pronto all'uso ed entrare in questa economia.

L'industrializzazione del crimine informatico ha creato ruoli specializzati, come broker di accesso che vendono l'accesso alle reti. Una singola compromissione spesso coinvolge più criminali informatici in diverse fasi dell'intrusione.

I kit RaaS sono facili da trovare nel dark web e sono pubblicizzati proprio come avviene con gli articoli pubblicizzati su Internet.

Un kit RaaS può includere supporto dell'assistenza clienti, offerte, recensioni degli utenti, forum e altre funzionalità. I criminali informatici possono pagare un prezzo stabilito per un kit RaaS mentre altri gruppi che vendono questi kit all'interno di un modello affiliato prendono una percentuale dei profitti.

Gli attacchi ransomware prevedono decisioni basate sulle configurazioni di rete e differiscono per ogni vittima anche se il payload del ransomware è lo stesso. Il ransomware culmina in un attacco che può includere esfiltrazione di dati e altri tipi di impatto. Data la natura interconnessa dell'economia del crimine informatico, allo stesso modo intrusioni correlate possono basarsi le une sulle altre. Il malware Infostealer che ruba password e cookie viene trattato con meno gravità, ma i criminali informatici vendono queste password per rendere possibili altri attacchi.

Questi attacchi seguono un modello di accesso iniziale attraverso un'infezione malware o sfruttamento di una vulnerabilità seguiti da un furto di credenziali per elevare i privilegi e spostarsi lateralmente. L'industrializzazione consente a utenti malintenzionati senza particolari competenze avanzate di portare a termine attacchi ransomware prolifici e di impatto. Dalla chiusura di Conti abbiamo osservato cambiamenti nel panorama ransomware. Alcuni affiliati che distribuivano Conti sono passati a payload di ecosistemi RaaS consolidati come LockBit e Hive, mentre altri distribuiscono contemporaneamente payload di più ecosistemi RaaS.

Nuovi RaaS come QuantumLocker e Black Basta stanno riempiendo il vuoto lasciato dalla chiusura di Conti. Poiché la maggior parte della copertura Ransomware si concentra sui payload invece che sugli attori, questo passaggio di payload può confondere i governi, le forze dell'ordine, i media, i ricercatori nel campo della sicurezza e i difensori in merito a chi può esserci dietro gli attacchi.

La creazione di report sul ransomware potrebbe sembrare un problema di dimensionamento infinito; tuttavia, la realtà è che si tratta di un insieme finito di attori che usano il set di tecniche.

Consigli:

  • Creazione di un'igiene delle credenziali: sviluppa una segmentazione della rete logica basata sui privilegi che possono essere implementati lungo la segmentazione della rete per limitare il movimento laterale.
  • Controllo dell'esposizione delle credenziali: il controllo dell'esposizione delle credenziali è fondamentale per prevenire gli attacchi ransomware e il crimine informatico in generale. I team di sicurezza IT e i SOC possono collaborare per ridurre i privilegi amministrativi e comprendere il livello al quale vengono esposte le credenziali.
  • Riduzione della superficie di attacco: definisci regole di riduzione della superficie di attacco per impedire tecniche di attacco comuni usate negli attacchi ransomware. Negli attacchi osservati da diversi gruppi di attività, organizzazioni associati a ransomware, le organizzazioni con regole chiaramente definite sono state in grado di mitigare gli attacchi alle fasi iniziali impedendo al contempo la manomissione dell'attività della tastiera.

I criminali informatici aggiungono doppia estorsione alla strategia di attacco

Il ransomware esiste per estorcere un pagamento da una vittima. La maggior parte degli attuali programmi RaaS inoltre rubano i dati, si tratta in questo caso di doppia estorsione. Poiché le interruzioni causano ripercussioni e interruzione da parte del governo dell'aumento di operatori ransomware, alcuni gruppi abbandonano il ransomware e attuano l'estorsione dei dati.

Due gruppi dedicati all'estorsione sono DEV-0537 (ovvero LAPSUS$) e DEV-0390 (un ex affiliato Conti). Le intrusioni di DEV-0390 partono da software dannoso ma usano strumenti legittimi per esfiltrare i dati ed estorcere il pagamento. Distribuiscono strumenti di test di penetrazione come Cobalt Strike, Brute Ratel C4 e l'utility di gestione remota legittima Atera per mantenere l'accesso a una vittima. DEV-0390 eseguirà l'escalation dei privilegi rubando le credenziali, individuando i dati sensibili (spesso su file server e server di backup aziendali) e invierà i dati a un sito di condivisione di file cloud usando un'utility di backup del file.

DEV-0537 usa una strategia e tecniche commerciali molto diverse. L'accesso iniziale viene ottenuto acquistando credenziali nel dark web o da dipendenti in organizzazioni prese di mira.

Problemi

  • Password rubate e identità non protette
    Ancora più che di software dannosi, gli utenti malintenzionati hanno bisogno di credenziali per avere successo. In quasi tutte le distribuzioni di ransomware riuscite, gli utenti malintenzionati ottengono l'accesso ad account a livello di amministratore con privilegi acquisendo un ampio accesso alla rete di un'organizzazione.
  • Prodotti di sicurezza mancanti o disabilitati
    In quasi tutti gli incidenti ransomware osservati, almeno un sistema sfruttato nell'attacco coinvolgeva prodotti di sicurezza mancanti o configurati in modo errato che avevano consentito agli intrusi di danneggiare o disabilitare alcune protezioni.
  • Applicazioni configurate in modo errato o usate in modo improprio
    Potresti usare una nota app per uno scopo, ma questo non significa che i criminali non possano usarla come arma per un altro obiettivo. Troppo spesso, configurazioni "legacy" prevedono che l'app sia installata nello stato predefinito, consentendo a ogni utente un ampio accesso nell'intera organizzazione. Non sottovalutare il rischio e non esitare a modificare le impostazioni dell'app per paura di interruzioni.
  • Applicazione di patch lenta
    È un cliché come "Mangia la verdura". Ma è un fatto fondamentale: il miglior modo per rafforzare il software è mantenerlo aggiornato. Anche se alcune app basate sul cloud si aggiornano automaticamente, le aziende devono applicare le patch di altri fornitori immediatamente. Nel 2022, Microsoft ha osservato che le vulnerabilità meno recenti erano ancora un elemento scatenante negli attacchi.
  • Password rubate e identità non protette
    Ancora più che di software dannosi, gli utenti malintenzionati hanno bisogno di credenziali per avere successo. In quasi tutte le distribuzioni di ransomware riuscite, gli utenti malintenzionati ottengono l'accesso ad account a livello di amministratore con privilegi acquisendo un ampio accesso alla rete di un'organizzazione.
  • Prodotti di sicurezza mancanti o disabilitati
    In quasi tutti gli incidenti ransomware osservati, almeno un sistema sfruttato nell'attacco coinvolgeva prodotti di sicurezza mancanti o configurati in modo errato che avevano consentito agli intrusi di danneggiare o disabilitare alcune protezioni.
  • Applicazioni configurate in modo errato o usate in modo improprio
    Potresti usare una nota app per uno scopo, ma questo non significa che i criminali non possano usarla come arma per un altro obiettivo. Troppo spesso, configurazioni "legacy" prevedono che l'app sia installata nello stato predefinito, consentendo a ogni utente un ampio accesso nell'intera organizzazione. Non sottovalutare il rischio e non esitare a modificare le impostazioni dell'app per paura di interruzioni.
  • Applicazione di patch lenta
    È un cliché come "Mangia la verdura". Ma è un fatto fondamentale: il miglior modo per rafforzare il software è mantenerlo aggiornato. Anche se alcune app basate sul cloud si aggiornano automaticamente, le aziende devono applicare le patch di altri fornitori immediatamente. Nel 2022, Microsoft ha osservato che le vulnerabilità meno recenti erano ancora un elemento scatenante negli attacchi.

Operazioni

  • Autenticare le identità Applica l'autenticazione a più fattori in tutti gli account, assegna priorità all'amministratore e ad altri ruoli sensibili. Con un personale ibrido, richiedi l'autenticazione a più fattori su tutti i dispositivi, sempre e ovunque. Abilita l'autenticazione senza password come chiavi FIDO o Microsoft Authenticator per app che la supportano.
  • Risolvere i punti ciechi relativi alla sicurezza
    Come gli allarmi antifumo, i prodotti di sicurezza devono essere installati negli spazi corretti e testati regolarmente. Verifica che gli strumenti di sicurezza funzionino nella configurazione più sicura e che nessuna parte della rete non sia protetta.
  • Rafforzare gli asset con accesso a Internet
    Prendi in considerazione l'eliminazione di app duplicate o non utilizzate per eliminare servizi non utilizzati rischiosi. Fai attenzione quando concedi autorizzazioni ad app di helpdesk da remoto come TeamViewer. Si tratta di classici obiettivi degli attori di minacce per ottenere l'accesso espresso ai portatili.
  • Mantenere aggiornati i sistemi
    L'inventario software deve essere un processo continuo. Tieni traccia di quello che esegui e assegna priorità al supporto di tali prodotti. Usa le tue capacità per applicare le patch in modo rapido e decisivo per capire quando la transizione ai servizi basati sul cloud è vantaggiosa.

Comprendendo la natura interconnessa delle identità e delle relazioni di fiducia negli ecosistemi tecnologici moderni, le minacce sono indirizzate a telecomunicazioni, tecnologia, servizi IT e aziende di supporto per sfruttare l'accesso da un'organizzazione per entrare nelle reti di partner o fornitori. Gli attacchi esclusivamente basati sull'estorsione dimostrano che i difensori della rete devono guardare oltre i ransomware di fase finale e prestare attenzione all'esfiltrazione di dati e al movimento laterale.

Se un attore di minacce sta pianificando di estorcere i dati privati di un'organizzazione, un payload ransomware è la parte meno significativa e importante della strategia di attacco. Infine, spetta all'operatore scegliere cosa distribuire e il ransomware non sempre è la ricompensa che ogni attore di minacce cerca.

Anche se il ransomware o la doppia estorsione possono sembrare un risultato inevitabile di un attacco compiuto da un utente malintenzionato sofisticato, il ransomware è un disastro evitabile. Se gli utenti malintenzionati possono basarsi su una mancanza di sicurezza significa che gli investimenti in igiene informatica sono troppo pochi.

L'esclusiva visibilità di Microsoft ci offre una lente sull'attività dell'attore di minacce. Invece che basarsi su post di forum o fughe di dati, il nostro team di esperti di sicurezza studia le nuove tattiche ransomware e sviluppa intelligence sulle minacce su cui basiamo le nostre soluzioni di sicurezza.

La protezione dalle minacce integrata nei dispositivi, nelle identità, nelle app, nella posta elettronica, nei dati e nel cloud ci consente di identificare gli attacchi che sarebbero stati ricondotti a più attori, quando di fatto si tratta di un unico gruppo di criminali informatici. La nostra Digital Crimes Unit, composta da esperti tecnici, legali e aziendali, continua a lavorare con le forze dell'ordine per fermare il crimine informatico

Consigli:

Rafforza il cloud: man mano che gli utenti malintenzionati si muovono verso le risorse cloud, è importante proteggere tali risorse e identità insieme agli account locali. I team di sicurezza devono concentrarsi sulla protezione dell'infrastruttura delle identità di sicurezza, applicando l'autenticazione a più fattori su tutti gli account e trattando gli amministratori cloud/amministratori tenant con lo stesso livello di sicurezza e igiene delle credenziali degli amministratori di dominio.
Impedisci l'accesso iniziale: impedisci l'esecuzione di codice gestendo macro e script e abilitando le regole di riduzione della superficie di attacco.
Chiusura i punti ciechi di sicurezza: le organizzazioni devono verificare che gli strumenti di sicurezza usati siano configurati in modo ottimale ed eseguire scansioni della rete periodiche per garantire che un prodotto di sicurezza protegga tutti i sistemi.

Microsoft include raccomandazioni approfondite alla pagina  https://go.microsoft.com/fwlink/?linkid=2262350.

Ascolta da Emily Hacker, analista di intelligence sulle minacce, come mantenere sotto controllo il panorama in continua evoluzione del Ransomware-as-a-Service.

Microsoft Digital Crimes Unit (DCU):
ha diretto la rimozione di oltre 531.000 URL di phishing unici e 5400 kit di phishing tra luglio 2021 e giugno 2022, portando all'identificazione e alla chiusura di oltre 1400 account di posta elettronica dannosi usati per raccogliere credenziali di clienti rubate.1
Minacce tramite posta elettronica:
il tempo medio per un utente malintenzionato per accedere ai tuoi dati privati se diventi vittima di un'e-mail di phishing è di un'ora e 12 minuti.1
Minacce dell'endpoint:
il tempo medio per un utente malintenzionato per iniziare a spostarsi lateralmente nella tua rete aziendale in caso di compromissione di un dispositivo è di un'ora e 42 minuti.1
  1. [1]

    Metodologia: Per i dati dell'istantanea, le piattaforme Microsoft, tra cui Defender e Azure Active Directory e la nostra Digital Crimes Unit hanno fornito dati anonimizzati sull'attività delle minacce, come account e-mail dannosi, e-mail di phishing e il movimento degli utenti malintenzionati nelle reti. Ulteriori informazioni derivano dai 43 trilioni di segnali di sicurezza quotidiani ottenuti tramite Microsoft, tra cui il cloud, gli endpoint, la rete perimetrale intelligente e i nostri team addetti alle pratiche di recupero in caso di violazioni della sicurezza e addetti al rilevamento e alla risposta alle minacce.

Profilo dell'esperto: Emily Hacker

L'analista dell'intelligence sulle minacce Emily Hacker spiega come il suo team riesce a tenere il passo del panorama dei ransomware come servizi in continua evoluzione e illustra le misure che adotta per aiutare a individuare gli attori pre-ransomware.

Cyber Signals: Problema 3: Sempre più IoT e il rischio per l'OT

La crescente circolazione dell'IoT sta mettendo a rischio l'OT, con una serie di potenziali vulnerabilità e l'esposizione agli attori di minacce. Scopri come garantire la protezione della tua organizzazione

Cyber Signals: Problema 1

L'identità è il nuovo campo di battaglia. Ottieni informazioni dettagliate sulle minacce informatiche in continua evoluzione e su quali passaggi compiere per proteggere meglio la tua organizzazione.

Segui Microsoft Security