Come individuare i ransomware: 12 opportunità per automatizzare monitoraggio e avvisi

Sono trascorsi cinque anni da quando l’epidemia di WannaCry ha contribuito a rendere il ransomware un nome familiare. Per certi versi, sembra essere passata una vita. Esempio: La differenza tra cifre da capogiro citate nei report odierni e alcune delle statistiche del 2017 relative ai ransomware sono impressionanti.

• Nel secondo trimestre del 2017, la richiesta media di riscatto è stata stimata tra 501 e 2.000 dollari. Secondo Coveware, nel primo trimestre del 2024 il pagamento medio del riscatto è stato di 381.980 dollari.
• Nel 2017, Cybersecurity Ventures ha stimato che il costo totale dei danni causati da ransomware avrebbe raggiunto i 5 miliardi di dollari per quell’anno. Il loro ultimo rapporto stima che i costi annuali totali nel 2025 potrebbero raggiungere i 57 miliardi di dollari.

Ovviamente, molte cose sono cambiate e, con miliardi di dollari in gioco, dire che gli attacchi ransomware di oggi sono maturati ed evoluti è un eufemismo.

Come afferma il ricercatore di sicurezza Kevin Beaumont in un post sul blog che tutti dovrebbero leggere:

“Un gruppo di ransomware che viene pagato 40 milioni di dollari per attaccare una compagnia assicurativa per la sicurezza informatica offre agli hacker un budget maggiore per lanciare un attacco informatico rispetto a quello che la maggior parte delle organizzazioni di medie e grandi dimensioni possiede complessivamente per difendersi dagli attacchi. E si tratta di un solo attacco, da parte di un solo gruppo, che è a malapena diventato una notizia”.

— Kevin Beaumont, “The Hard Truth about Ransomware”

È una situazione che fa riflettere, ma prima di farsi tentare dal voler tornare ai giorni “più semplici” del 2017, vale la pena di considerare che, per quanto le cose siano cambiate in questi otto anni, ci sono anche molte cose che sono rimaste uguali.

Sì, l’ecosistema del crimine informatico è esploso intorno al ransomware e, naturalmente, i gruppi di attacco hanno accumulato tantissimi fondi per l’acquisto di zero day e per il lancio di programmi bug bounty. Ma la verità è che, nonostante tutto ciò, la maggior parte degli attacchi continua a prendere di mira le vittime più facili. Perché utilizzare strategie sofisticate e fantasiose quando è ancora possibile attaccare molte persone con i metodi di base?

• Colonial Pipeline? Hackerato tramite un account inattivo senza MFA.   
• Servizi sanitari irlandesi? Tramite un documento Excel dannoso. 
• Accesso per 5 mesi a un’agenzia governativa statunitense da parte della banda del ransomware LockBit? Tutto a causa di un RDP esposto.
• Attacco ransomware da 50 milioni di dollari al colosso dei PC Acer? Grazie a una vulnerabilità priva di patch di Microsoft Exchange.

Sì, la prevenzione è difficile per le organizzazioni di oggi, ma d’altra parte lo è sempre stata e non sono del tutto convinto che oggi sia esponenzialmente più difficile rispetto a otto anni fa. La verità è che pratiche di sicurezza solide e un hardening degli endpoint di base possono fare la differenza per le PMI.

E anche se questo post riguarda il rilevamento, vale lo stesso discorso. La maggior parte delle organizzazioni avrà comunque bisogno di risorse dedicate (interne o esterne) per implementare e monitorare attivamente le attività di rilevamento che tratteremo qui, ma le difficoltà per iniziare non sono necessariamente alte, almeno non tanto quanto alcuni fornitori di strumenti di sicurezza vorrebbero far credere.

Ecco un esempio: Di seguito sono riportate 12 buone idee di base per il rilevamento del ransomware che possono darti risultati senza costare una fortuna.

Analizziamole.

Se preferisci, puoi anche guardare un video sul tema: Come individuare i ransomware: Monitoraggio e avvisi.

Come individuare i ransomware

Innanzitutto, dobbiamo ammettere che cercare di rilevare l’attività di un ransomware dopo che è stato eseguito (eseguibili dei ransomware già operativi che criptano dati) è una partita persa. Alcune delle varianti di ransomware più prolifiche possono crittografare 100.000 file in meno di cinque minuti.

I tentativi di individuazione e reazione a cambiamenti improvvisi e in massa nei nomi dei file e altro sono spesso troppo pochi e troppo tardivi.

I sistemi AV/EDR sono ovviamente progettati per bloccare gli eseguibili del ransomware, ma le percentuali di rilevamento/blocco non sono perfette. Anche se riescono a bloccare un eseguibile, non risolvono il problema dell’accesso degli aggressori. Se falliscono una volta, ci riproveranno.

Gli aggressori sfruttano inoltre abitualmente strumenti e playbook progettati per ottenere privilegi elevati per disabilitare gli strumenti di sicurezza (e i backup).

Ecco perché il momento migliore per rilevare e interrompere gli attacchi è all’inizio, idealmente quando si verificano tentativi, spesso automatizzati, di connessione ai sistemi. Bloccare gli attacchi sul nascere è molto più facile che affrontare la fase successiva, quando si ha a che fare con un vero hacker umano che utilizza strategie collaudate e numerosi strumenti in grado di mappare rapidamente la rete e di prenderne il pieno controllo.

Quindi, quando parliamo di rilevamento dei ransomware, la domanda migliore da porre è: “Come si rilevano i primi segnali di allarme di una compromissione che potrebbe portare rapidamente a un ransomware?”

La parte più importante qui è “rapidamente”, in quanto i report mostrano che, dopo l’accesso iniziale, il ransomware può essere distribuito giorni o addirittura appena qualche ora dopo.

Per esempio, gruppi come Black Basta e Clop sono noti per distribuire i payload in meno di 4 ore.

Consulta il report di The DFIR Report, “IcedID to XingLocker ransomware in 24 hours” e “Netwalker Ransomware in 1 Hour“.

Con così poco tempo a disposizione per individuare la minaccia e reagire, è fondamentale disporre di strumenti e professionisti esperti che monitorino attivamente i sistemi e siano pronti a rispondere (preferibilmente sfruttando l’automazione).

Quali sono i segnali di ransomware e le buone opportunità per rilevarli?

La buona notizia è che anche se esistono molti gruppi di attacco e varianti, la maggior parte si basa ancora su playbook e strumenti noti. Grazie al lavoro di ricercatori come quelli di The DFIR Report e altri, i difensori possono imparare i TTP più comuni e costruire meccanismi di rilevamento di conseguenza.

Di seguito è riportato un elenco di opportunità di rilevamento mappate in base agli schemi di attacco ransomware più comuni (un grande ringraziamento va all’articolo “2021 Year In Review” di The DFIR Report). Non si tratta di un elenco esaustivo, ma dovrebbe fornire alcune indicazioni utili per iniziare.

Se stai usando una soluzione di gestione degli endpoint o un RMM come NinjaOne, puoi creare condizioni di monitoraggio e di avviso per molti di questi rilevamenti che possono essere facilmente distribuiti agli endpoint, risparmiando a te e al tuo team il lavoro manuale. Puoi anche sviluppare azioni automatizzate da attivare tramite avvisi, come la reinstallazione/il riavvio automatico dei processi AV/EDR se identificati come mancanti/disabilitati.

Se vuoi fare ancora di più, The DFIR Report ha anche condiviso tantissime Sigma Rules estremamente utili che puoi utilizzare con Chainsaw, uno strumento open source gratuito di F-Secure Labs che consente di analizzare rapidamente i log eventi e rilevare segnali sospetti che possono indicare un attacco in corso.

Tipi di tattiche ransomware e come rilevarle: opportunità di rilevamento in base alla fase di attacco

Accesso iniziale

1) Segnalazioni di e-mail sospette da parte degli utenti finali: Non hanno le prime pagine dei giornali come le vulnerabilità zero-day, ma le comuni e-mail dannose progettate per indurre gli utenti a scaricare ed eseguire malware continuano a essere uno dei vettori di attacco iniziale più comuni. Perché? Perché funzionano ancora.

• Come rilevare e-mail sospette: Le organizzazioni devono fornire ai dipendenti una formazione sulla consapevolezza in materia di sicurezza e creare una cultura in cui i dipendenti siano attivamente incoraggiati e premiati per la segnalazione di e-mail sospette e potenziali errori senza timore di essere puniti.

2) Connessioni RDP sospette: L’RDP esposto è un altro vettore di attacco che alcuni addetti alla sicurezza e all’IT potrebbero ignorare, ma che continua a essere uno dei principali punti di compromissione iniziale per gli incidenti ransomware.

• Come rilevare connessioni RDP sospette: Questo articolo di NCCGroup spiega come acquisire eventi di registro “low-noise” relativi alle sessioni RDP tentate e andate a buon fine. Inoltre, questo script dell’esperto di PowerShell Kelvin Tegelaar si spinge oltre, documentando se una serie di strumenti di accesso remoto sono installati (Remote Desktop, Teamviewer, Connectwise ScreenConnect e altri) e registrando quando c’è stata una connessione riuscita.

Persistenza

1) Creazione di attività pianificate sospette: Si tratta di uno dei modi più comuni con cui gli hacker ottengono la persistenza su un sistema.

• Come rilevare la creazione di attività pianificate sospette: Monitora e invia avvisi relativi a questo problema tenendo traccia degli ID evento 4698 e 4700 di Windows o utilizzando lo script di Kelvin Tegelaar su PowerShell, disponibile qui.

2) Software di accesso remoto inatteso: Un’altra tattica sempre più utilizzata prevede l’installazione da parte degli hacker di software di terze parti, come AnyDesk (il più utilizzato in assoluto), Atera, TeamViewer e Splashtop.

• Come rilevare un software di accesso remoto inaspettato: Si tratta di strumenti molto diffusi tra gli MSP, ma se non stai sfruttando nessuno di essi, è una buona idea monitorare regolarmente la loro presenza e segnalarli. Anche in questo caso è possibile utilizzare lo script di Kelvin (vedere il commento di Luke Whitlock per una modifica che controlla AnyDesk).

Inoltre, puoi anche monitorare l’ID evento 7045 di Windows. 

Escalation dei privilegi/accesso alle credenziali

1) Estrazione delle credenziali dal sottosistema autorità di sicurezza locale di Windows (LSASS): Anche se gli aggressori possono provare a ottenere le credenziali in altri modi, questo è di gran lunga uno dei più comuni.

• Come rilevare l’abuso di LSASS: Un metodo efficace per monitorare o bloccare i tentativi di furto di credenziali da LSASS consiste nell’applicazione delle regole di Attack Surface Reduction (ASR) di Microsoft (è richiesta la build 1709 di Windows 10/build 1809 di Windows Server o versioni successive). Nota a margine: Altre regole ASR sono ottime per bloccare vari tentativi comuni di eseguire un codice dannoso e ottenere l’accesso iniziale (per esempio impedire ai programmi di Office di creare processi secondari, a JavaScript o VBScript di avviare contenuti eseguibili scaricati ecc.). Consulta questo articolo del team di sicurezza di Palantir in cui condivide la propria valutazione dell’impatto delle regole ASR e le impostazioni consigliate. Molti strumenti EDR, inoltre, offrono funzionalità di blocco e rilevamento simili per proteggere LSASS.

Evasione della difesa

1) Disabilitare/disinstallare l’antivirus e altri strumenti di sicurezza: Perché preoccuparsi di aggirare gli strumenti di sicurezza quando si possono semplicemente disabilitare?

• Come rilevare le manomissioni dell’antivirus: Dai un’occhiata a questo script di Kelvin Tegelaar o, se ne hai uno, sfrutta il tuo RMM per controllare regolarmente se gli strumenti di sicurezza sono installati e/o in esecuzione.

Individuazione

1) Uso inaspettato di strumenti per la scansione delle porte e di network discovery: Una volta stabilita una connessione, gli hacker devono guardarsi intorno per vedere dove si trovano e individuare le migliori opportunità di movimento laterale. Molti sfruttano le utility integrate di Windows, come nltest.exe, ipconfig, whoami, ecc., nonché ADFind. Altri utilizzano strumenti di scansione delle porte, come Advanced IP Scanner.

• Come rilevare strumenti per la scansione delle porte e di ricognizione sospetti: Come nel caso degli strumenti di accesso remoto, puoi utilizzare il monitoraggio e creare avvisi e regole di automazione per bloccarli in modo proattivo.

Movimento laterale

1) Sospetto utilizzo di Cobalt Strike: Cobalt Strike è un “software di simulazione dell’avversario” che purtroppo è diventato famoso tra gli hacker tanto quanto tra i penetration tester, a cui era destinato. Semplifica incredibilmente l’esecuzione di un’ampia varietà di tattiche post-exploitation e risulta spesso come uno strumento utilizzato in modo improprio negli incidenti di ransomware.

• Come rilevare Cobalt Strike: Molti strumenti EDR e di sicurezza danno la possibilità di rilevare l’uso di Cobalt Strike. Qui trovi un’ottima raccolta di risorse che ti permette di effettuare questa operazione.

2) Software di accesso remoto inattesi: Consulta la sezione sull’accesso remoto nel paragrafo “Persistenza”.

3) Connessioni di accesso remoto sospette: Potrebbero includere l’uso di RDP, SMB, VNC e altro ancora.

• Come rilevare le connessioni di accesso remoto sospette: Consulta questo elenco di idee per il monitoraggio del MITRE (per esempio la creazione di connessioni di rete, l’accesso a condivisioni di rete ecc.) per approfondire le tecniche secondarie per ottenere informazioni sull’utilizzo improprio di RDP, SMB, VNC, SSH ecc.

4) Uso sospetto di PsExec: PsExec è un altro strumento nativo di Microsoft di cui gli hacker hanno iniziato ad abusare. Consente di eseguire comandi o script da remoto come SISTEMA.

• Come rilevare l’abuso di PsExec: Il nostro amico Kelvin suggerisce uno script anche per questo (ovviamente). Puoi trovare qui altri ID evento Windows e modifiche al registro da monitorare.

Esfiltrazione di dati

1) Connessioni in uscita e picchi di traffico sospetti: Per avere la possibilità di mettere maggiore pressione sulle vittime, i malintenzionati sempre più spesso prima di criptare i dati li esfiltrano. In questo modo, possono minacciare anche di vendere i dati o di pubblicarli in rete.

• Come rilevare l’esfiltrazione dei dati: Gli indicatori di una potenziale esfiltrazione di dati possono includere grandi picchi di traffico in uscita, connessioni impreviste a indirizzi IP pubblici, porte utilizzate in modo insolito, volumi elevati di query DNS, estensioni di file di origine sospette (.rar, .7z, .zip, ecc.) e altro ancora. Il monitoraggio della rete e le regole del firewall possono essere di grande aiuto in questo caso. Per altre idee, consulta la sezione “Esfiltrazione” di MITRE ATT&CK.

2) Abuso di strumenti di trasferimento di file integrati e open source: I malintenzionati adorano utilizzare strumenti altrimenti legittimi, poiché riescono a passare inosservati. Per l’esfiltrazione dei dati, questi includono Microsoft BITS, curl.exe, Rclone, Mega (MegaSync e MegaCmd) e altri ancora.

• Come rilevare un uso sospetto del trasferimento dei file: Sebbene gli hacker possano prendersi la briga di rinominare questi programmi, alcuni semplicemente non lo fanno, quindi il blocco e/o il monitoraggio e l’avviso del loro utilizzo sono un buon punto di partenza. Per idee di rilevamento più avanzate/granulari, consulta le seguenti risorse: rilevare Rclone, rilevare Mega e Rclone e MITRE ATT&CK ID T1197.

Aggiunta di un livello di rilevamento di ransomware gestibile e scalabile

Il monitoraggio attivo e gli avvisi relativi a questo tipo di attività possono essere un problema per le organizzazioni che non dispongono di risorse dedicate e qualificate. In molti casi, esternalizzare la collaborazione con gli esperti giusti può essere la soluzione.

Per altri esempi di automazioni disponibili per i team IT su NinjaOne, consulta “Cosa dovresti monitorare con il tuo RMM? 28 suggerimenti”.

NinjaOne collabora anche con Bitdefender per fornire una soluzione integrata anti-ransomware come parte della sua piattaforma di gestione IT unificata (UITO). Includendo NinjaOne + Bitdefender GravityZone + NinjaOne Documentation, il pacchetto NinjaOne Protect aiuta a prevenire, rilevare e rispondere agli attacchi ransomware, riducendo potenzialmente l’impatto del ransomware sulla vostra azienda .

Iscriviti per una prova gratuita di NinjaOne Protect oggi stesso.