Sophos ha pubblicato oggi sul blog dei suoi SophosLabs una ricerca in più parti che fa il punto sul ransomware, analizzando le nuove tecniche anti-rilevamento tipiche degli attacchi WastedLocker che utilizzano il memory-mapped I/O per criptare i file. Un articolo integrativo approfondisce gli aspetti legati alla messa a punto di strategie sempre più avanzate per eludere i sistemi di sicurezza, fornendo un’analisi svolta su più mesi e relativa a come i cybercriminali abbiano saputo sviluppare e far evolvere le loro tattiche e procedure (TTPs) dall’attacco ransomware Snatch del dicembre 2019.

Nella serie di articoli messa a punto dai ricercatori di Sophos vengono inoltre condivisi i 5 segnali di allarme che indicano che l’azienda sta per essere colpita dal ransomware e viene spiegato perché tali attacchi continuino a riproporsi.

“La verità è che il ransomware non sta affatto scomparendo: in Sophos abbiamo visto gang come quelle responsabili di WastedLocker portare a un livello superiore le loro tecniche di elusione e trovare sempre nuovi metodi per bypassare gli strumenti anti-ransomware basati sull’analisi comportamentale. Anche altre azioni, come ad esempio l’esfiltrazione di dati e la disabilitazione dei backup sono precursori di questo genere di attacco. Più a lungo i cybercriminali riescono a restare all’interno della rete, più danni potranno causare” ha commentato Chester Wisniewski, principal research scientist di Sophos.

“Per tutte queste ragioni, l’intelligenza umana e la capacità di reazione sono componenti chiave per rilevare e neutralizzare i segnali preliminari di un attacco. Le aziende devono conoscere i trend in crescita e devono rafforzare il proprio perimetro disabilitando gli strumenti di accesso da remoto come quelli di Remote Desktop Control al fine di prevenire l’accesso indesiderato alla rete, che rappresenta il comune denominatore di molti attacchi ransomware presi in esame da Sophos.”

La combinazione di cambiamenti nei comportamenti dei cybercriminali e ambienti di lavoro sempre più ibridi e caratterizzati da un crescente ricorso al remote working a causa dell’emergenza COVID19, rende necessario che le aziende mettano la sicurezza IT al primo posto. Sarà altresì fondamentale implementare soluzioni di sicurezza predittive, in grado cioè di anticipare avversari in costante evoluzione, pronti a cogliere tutte le opportunità offerte da un perimetro aziendale in costante ampliamento e con confini sempre più labili.

ransomware

I 5 segnali di allarme che anticipano un attacco ransomware

  • Uno scanner di rete, soprattutto su un server. Gli aggressori in genere iniziano accedendo a un computer in cui cercano informazioni. Successivamente vorranno sapere cos’altro c’è sulla rete e a cosa possono accedere. Il modo più semplice per determinare ciò è eseguire la scansione della rete. Se viene rilevato uno scanner di rete, come AngryIP o Advanced Port Scanner, bisogna assolutamente interrogare il personale di amministrazione.
  • Strumenti per disabilitare il software antivirus. Una volta che gli aggressori hanno i diritti di amministratore, spesso tentano di disabilitare il software di sicurezza utilizzando le applicazioni create per facilitare la rimozione forzata di software, come Process Hacker, IOBit Uninstaller, GMER e PC Hunter. Questi tipi di strumenti commerciali sono legittimi, ma nelle mani sbagliate i team di sicurezza e gli amministratori devono chiedersi perché siano comparsi all’improvviso.
  • La presenza di MimiKatz. Qualsiasi rilevamento di MimiKatz ovunque dovrebbe essere analizzato. Se nessuno in un team di amministrazione può garantire l’utilizzo di MimiKatz, questa è una bandiera rossa perché è uno degli strumenti di hacking più comunemente usati per il furto di credenziali. Gli aggressori usano anche Microsoft Process Explorer, incluso in Windows Sysinternals, uno strumento legittimo che può scaricare LSASS.exe dalla memoria creando un file .dmp. Possono quindi portarlo nel proprio ambiente e utilizzare MimiKatz per estrarre in modo sicuro nomi utente e password sulla propria macchina di prova.
  • Modelli di comportamento sospetto. Qualsiasi rilevamento che si verifica alla stessa ora ogni giorno o in uno schema ripetuto è spesso un’indicazione che sta succedendo qualcos’altro, anche se sono stati rilevati e rimossi file dannosi.
  • Attacchi di prova. Occasionalmente, gli aggressori eseguono piccoli attacchi di prova su alcuni computer per vedere se il metodo di distribuzione e il ransomware vengono eseguiti correttamente o se il software di sicurezza riesca a individuarli. Se gli strumenti di sicurezza fermano l’attacco, gli attaccanti cambiano le loro tattiche e riprovano. In questi casi è spesso una questione di ore prima che venga lanciato un attacco molto più grande.

Consigli per una difesa efficace

  • Disabilitare qualunque strumento di RDP per negare l’accesso alla rete ai malintenzionati. Se si rende necessario un accesso RDP, implementarlo attraverso una connessione VPN
  • Mettere a punto un sistema di sicurezza multilivello per prevenire, proteggere e rilevare i cyberattacchi che includa funzionalità EDR e team di managed response che monitorino il network 24 ore su 24, 7 giorni su 7
  • Conoscere e tenere d’occhio i 5 segnali che preannunciano l’attacco in modo da poterlo bloccare tempestivamente