Ecco dodici modi in cui i team IT di qualsiasi dimensione possono implementare avvisi automatici per rilevare gli attacchi ransomware prima che sia troppo tardi.
È pazzesco pensare che siano passati cinque anni dall’epidemia di WannaCry, evento che ha contribuito a diffondere la consapevolezza sui ransomware. Per certi versi, sembra essere passata una vita. Esempio: rispetto alle cifre da capogiro citate nei report odierni, alcune delle statistiche del 2017 relative ai ransomware risultano bizzarre.
- Nel secondo trimestre del 2017, la richiesta media di riscatto è stata stimata tra 501 e 2.000 dollari. Secondo Coverware, nel primo trimestre del 2022 il pagamento medio del riscatto è stato di 211.529 dollari.
- Nel 2017, Cybersecurity Ventures ha stimato che il costo totale dei danni causati da ransomware avrebbe raggiunto i 5 miliardi di dollari per l’anno in corso. Invece, stando all’ultimo report, i costi totali nel 2021 hanno raggiunto i 20 miliardi di dollari.
Ovviamente, molte cose sono cambiate e, con miliardi di dollari in gioco, dire che gli attacchi ransomware di oggi sono maturati ed evoluti è un eufemismo.
Come afferma il ricercatore di sicurezza Kevin Beaumont in un post sul blog che tutti dovrebbero leggere:
“Un gruppo di ransomware che viene pagato 40 milioni di dollari per attaccare una compagnia assicurativa per la sicurezza informatica offre agli hacker un budget maggiore per lanciare un attacco informatico rispetto a quello che la maggior parte delle organizzazioni di medie e grandi dimensioni possiede complessivamente per difendersi dagli attacchi. E si tratta di un solo attacco, da parte di un gruppo, che ha fatto appena notizia”.
— Kevin Beaumont, “The Hard Truth about Ransomware”
È una constatazione che fa riflettere, ma prima di rimpiangere i giorni più “felici” del 2017, vale la pena considerare che, per quanto le cose siano cambiate negli ultimi cinque anni, molte altre sono rimaste le stesse.
Sì, l’ecosistema del crimine informatico è esploso intorno al ransomware e, naturalmente, i gruppi di attacco hanno accumulato tantissimi fondi per l’acquisto di zero day e per il lancio di programmi bug bounty. Ma la verità è che, nonostante tutto ciò, la maggior parte continua a prendere di mira le vittime più facili. Perché utilizzare strategie sofisticate e fantasiose quando è ancora possibile attaccare molte persone con i metodi di base?
- Colonial Pipeline? Hackerato tramite un account inattivo senza MFA.
- Servizi sanitari irlandesi? Documento Excel dannoso.
- Accesso per 5 mesi a un’agenzia governativa statunitense da parte della banda del ransomware LockBit? RDP esposto.
- Attacco ransomware da 50 milioni di dollari al colosso dei PC Acer? Vulnerabilità priva di patch di Microsoft Exchange.
È vero, la prevenzione è difficile per le organizzazioni di oggi, ma lo è sempre stata e non è detto che oggi sia esponenzialmente più complicata di cinque anni fa. La verità è che basi solide e rafforzamento degli endpoint fondamentali possono fare la differenza per le PMI.
E anche se questo post riguarda il rilevamento, vale lo stesso discorso. La maggior parte delle organizzazioni avrà comunque bisogno di risorse dedicate (interne o esterne) per implementare e monitorare attivamente le opportunità di rilevamento trattate in questo articolo, ma la barriera all’ingresso non è così insormontabile come alcuni fornitori di sicurezza vorrebbero far credere.
Ecco un esempio: 12 idee di rilevamento basilari ma efficaci per ottenere risultati senza dover pagare una fortuna.
Analizziamole.
Come rilevare i ransomware (o meglio, quando)
Innanzitutto, dobbiamo ammettere che cercare di rilevare l’attività di un ransomware dopo che è stato eseguito (eseguibili dei ransomware in funzione che criptano dati) è una partita persa. Alcune delle varianti di ransomware più prolifiche possono crittografare 100.000 file in meno di cinque minuti.
I tentativi di individuazione e reazione a cambiamenti improvvisi e massicci nei nomi dei file ecc, sono spesso troppo pochi e troppo tardivi.
I sistemi AV/EDR sono ovviamente progettati per bloccare gli eseguibili dei ransomware, ma i tassi di rilevamento/blocco non sono perfetti e anche se riescono a bloccare un eseguibile, non risolvono il problema dell’accesso di hacker. Se falliscono una volta, ci riprovano.
Di solito gli hacker sfruttare anche strategie e strumenti pensati per ottenere privilegi elevati in modo da disattivare gli strumenti di sicurezza (e i backup).
Ecco perché il momento migliore per rilevare e interrompere gli attacchi è all’inizio, idealmente quando si verificano tentativi, spesso automatizzati, di connessione ai sistemi. Bloccare gli attacchi sul nascere è molto più facile che affrontare la fase successiva, quando si ha a che fare con un vero hacker umano che utilizza strategie collaudate e numerosi strumenti in grado di mappare rapidamente la rete e di prenderne il pieno controllo.
Quindi, quando parliamo di rilevamento dei ransomware, la domanda migliore da porre è: “Come si rilevano i primi segnali di allarme di una compromissione che potrebbe portare rapidamente al ransomware?”
L’accento è posto su “rapidamente” in quanto i report mostrano che, dopo l’accesso iniziale, il ransomware può essere distribuito giorni o addirittura ore dopo. Consulta l’analisi di The DFIR Report, “IcedID to XingLocker ransomware in 24 hours” e “Netwalker Ransomware in 1 Hour“.
Con così poco tempo a disposizione per individuare la minaccia e reagire, è fondamentale disporre di strumenti e professionisti esperti che monitorino attivamente i sistemi e siano pronti a rispondere (preferibilmente sfruttando l’automazione).
Ok, ma quali sono i segnali di allarme del ransomware e le buone opportunità di rilevamento?
La buona notizia è che, sebbene esistano moltissimi gruppi di attacco e varianti, la maggior parte di essi si basa ancora su strumenti e modus operandi comuni. Grazie al lavoro di ricercatori come quelli di The DFIR Report e altri, i difensori possono apprendere le TTP più comuni e, di conseguenza, sviluppare meccanismi di rilevamento.
Di seguito è riportato un elenco di opportunità di rilevamento mappate in base agli schemi di attacco ransomware più comuni (tanto di cappello all’articolo “2021 Year In Review” di The DFIR Report). Non si tratta di un elenco esaustivo, ma dovrebbe fornire alcune indicazioni utili per iniziare.
Se utilizzi una soluzione di gestione degli endpoint o un RMM come NinjaOne, puoi creare condizioni di monitoraggio e avvisi per molti di questi rilevamenti e implementarli facilmente sugli endpoint, così da ridurre le operazioni manuali per te e il tuo team. Puoi anche sviluppare azioni automatizzate da attivare tramite gli avvisi, come reinstallare/riavviare automaticamente i processi AV/EDR se identificati come mancanti/disattivati.
Se vuoi fare ancora di più, The DFIR Report ha anche condiviso tantissime regole Sigma estremamente utili che puoi utilizzare con Chainsaw, uno strumento open source gratuito di F-Secure Labs che consente di analizzare rapidamente i registri degli eventi e rilevare segni sospetti di un attacco.
Tipi di tattiche ransomware e come rilevarle: opportunità di rilevamento in base alla fase di attacco
Accesso iniziale
Segnalazioni di e-mail sospette da parte degli utenti finali: non fanno notizia quanto le vulnerabilità zero day, ma le comuni e-mail dannose progettate per indurre gli utenti a scaricare ed eseguire malware rimangono uno dei vettori di attacco iniziale più comuni. Il motivo? Perché funzionano ancora.
- Come rilevare e-mail sospette: oltre a sensibilizzare i dipendenti sull’argomento sicurezza, è fondamentale che le organizzazioni creino una cultura in cui siano attivamente spronati e premiati per la segnalazione di e-mail sospette E di potenziali errori, senza temere ritorsioni.
Connessioni RDP sospette: l’RDP esposto è un altro vettore di attacco che può far storcere il naso a chi si occupa di sicurezza e IT, ma che continua a essere uno dei principali punti iniziali di compromissione negli incidenti ransomware.
- Come rilevare connessioni RDP sospette: questo articolo di NCCGroup spiega come acquisire eventi di registro a basso rumore relativi alle sessioni RDP tentate e andate a buon fine. Inoltre, lo script di Kelvin Tegelaar, esperto di PowerShell, si spinge oltre controllando l’eventuale installazione di vari strumenti di accesso remoto (desktop remoto, TeamViewer, Connectwise ScreenConnect e altri) e registrando i tentativi di connessione andati a buon fine.
Persistenza
Creazione di attività programmate sospette: uno dei modi più comuni con cui gli hacker ottengono la persistenza su un sistema.
- Come rilevare la creazione di attività programmate sospette: monitora e invia avvisi relativi a questo problema tenendo traccia degli ID evento 4698 e 4700 di Windows o utilizzando lo script di Kelvin Tegelaar su PowerShell qui.
Software di accesso remoto imprevisto: un’altra tattica sempre più utilizzata prevede l’installazione da parte degli hacker di software di terze parti, come AnyDesk (il più famoso in assoluto), Atera, TeamViewer e Splashtop.
- Come rilevare un software di accesso remoto imprevisto: si tratta di strumenti molto diffusi tra gli MSP, ma se NON ne usi, è bene monitorare e segnalare regolarmente la loro presenza. Anche in questo caso puoi utilizzare lo script di Kelvin (vedi il commento di Luke Whitlock relativo a una modifica che monitora AnyDesk).
Inoltre, puoi anche monitorare l’ID evento 7045 di Windows.
Escalation dei privilegi/accesso alle credenziali
Estrazione delle credenziali dal sottosistema dell’autorità di sicurezza locale di Windows (LSASS): sebbene esistano altri modi con cui gli hacker acquisiscono le credenziali, questo è di gran lunga uno dei più comuni.
- Come rilevare l’abuso di LSASS: un metodo efficace per monitorare o bloccare i tentativi di furto di credenziali da LSASS consiste nell’applicazione delle regole di Attack Surface Reduction (ASR) di Microsoft (è richiesta la build 1709 di Windows 10/build 1809 di Windows Server o versioni successive). Nota a margine: altre regole ASR sono ottime per bloccare vari tentativi comuni di eseguire un codice dannoso e ottenere l’accesso iniziale (es: impedire ai programmi di Office di creare processi secondari, a JavaScript o VBScript di avviare contenuti eseguibili scaricati, ecc.). Consulta questo articolo del team di sicurezza di Palantir in cui condivide la propria valutazione dell’impatto delle regole ASR e le impostazioni consigliate. Molti strumenti EDR, inoltre, offrono funzionalità di blocco e rilevamento simili per proteggere LSASS.
Evasione della difesa
Disattivazione/disinstallazione di antivirus e altri strumenti di sicurezza: perché preoccuparsi di aggirare gli strumenti di sicurezza quando si possono semplicemente disattivare?
- Come rilevare la manomissione dell’antivirus: dai un’occhiata a questo script di Kelvin Tegelaar o, se ne hai uno, sfrutta il tuo RMM per controllare regolarmente se gli strumenti di sicurezza sono installati e/o in esecuzione.
Individuazione
Uso inatteso di strumenti di port scan e individuazione della rete: una volta stabilita una connessione, gli hacker devono guardarsi intorno per vedere dove si trovano e individuare le migliori opportunità di movimento laterale. Molti sfruttano le utility integrate di Windows, come nltest.exe, ipconfig, whoami, ecc., nonché ADFind. Altri utilizzano strumenti di port scanning, come Advanced IP Scanner.
- Come rilevare strumenti di port scan e di ricognizione sospetti: come per gli strumenti di accesso remoto, se non li utilizzi regolarmente, puoi provare a monitorarli e a creare avvisi e regole di automazione per bloccarli in modo proattivo.
Movimento laterale
Utilizzo sospetto di Cobalt Strike: Cobalt Strike è un “software di simulazione dell’avversario” che purtroppo è diventato famoso tra gli hacker tanto quanto tra i penetration tester, a cui era destinato. Semplifica incredibilmente l’esecuzione di un’ampia gamma di tattiche post-exploitation e risulta spesso come uno strumento utilizzato in modo improprio negli incidenti di ransomware.
- Come rilevare Cobalt Strike: molti strumenti EDR e ricercatori di sicurezza dispongono di proprio siti per rilevare l’uso di Cobalt Strike. Qui trovi un’ottima raccolta di risorse che ti permette di effettuare questa operazione.
Software di accesso remoto imprevisto: consulta la sezione sull’accesso remoto nel paragrafo “Persistenza”.
Connessioni di accesso remoto sospette: potrebbero includere l’uso di RDP, SMB, VNC e altro ancora.
- Come rilevare le connessioni di accesso remoto sospette: consulta questo elenco di idee per il monitoraggio di MITRE (es: creazione di connessioni di rete, accesso a condivisione di rete, ecc.) e approfondisci le tecniche secondarie per ottenere informazioni specifiche sull’abuso di RDP, SMB, VNC, SSH, ecc.
Uso sospetto di PsExec: PsExec è un altro strumento integrato di Microsoft di cui gli hacker hanno iniziato ad abusare. Consente di eseguire comandi o script da remoto come SISTEMA.
- Come rilevare l’abuso di PsExec: il nostro amico Kelvin suggerisce uno script anche per questo (ovviamente). Puoi trovare qui altri ID evento Windows e modifiche al registro da monitorare.
Esfiltrazione di dati
Connessioni in uscita sospette e picchi di traffico: per esercitare una maggiore influenza sulle vittime, gli hacker sempre più spesso prima di criptare i dati li esfiltrano. In questo modo, possono minacciare ulteriormente di vendere i dati o di pubblicarli in rete.
- Come rilevare l’esfiltrazione dei dati: gli indicatori di una potenziale esfiltrazione di dati possono includere grandi picchi di traffico in uscita, connessioni impreviste a indirizzi IP pubblici, porte utilizzate in modo insolito, volumi elevati di query DNS, estensioni di file di origine sospette (.rar, .7z, .zip, ecc.) e altro ancora. Il monitoraggio della rete e le regole del firewall possono essere di grande aiuto in questo caso. Per altre idee, consulta la sezione “Exfiltration” di MITRE ATT&CK.
Uso improprio di strumenti di trasferimento dei file integrati e open source: gli hacker adorano utilizzare strumenti altrimenti legittimi, poiché riescono a passare inosservati. Per l’esfiltrazione dei dati, questi includono Microsoft BITS, curl.exe, Rclone, Mega (MegaSync e MegaCmd) e altri ancora.
- Come rilevare un uso sospetto del trasferimento dei file: sebbene gli hacker possano prendersi la briga di rinominare questi programmi, alcuni semplicemente non lo fanno, quindi il blocco e/o il monitoraggio e l’avviso del loro utilizzo sono un buon punto di partenza. Per idee di rilevamento più avanzate/granulari, consulta rilevamento di Rclone, rilevamento di Mega e Rclone e MITRE ATT&CK ID T1197.
Aggiunta di un livello di rilevamento di ransomware gestibile e scalabile
Il monitoraggio attivo e gli avvisi relativi a questo tipo di attività possono essere un problema per le organizzazioni che non dispongono di risorse dedicate e qualificate. In molti casi, esternalizzare la collaborazione con gli esperti giusti può essere la soluzione.
Per altri esempi di automazioni disponibili per i team IT su Ninja, consulta “Cosa dovresti monitorare con il tuo RMM? 28 suggerimenti”.
Inoltre, NinjaOne collabora con Bitdefender per offrire una soluzione anti-ransomware integrata nella piattaforma di operazioni IT unificate (Unified IT Management, UITO). L’inclusione di Ninja + Bitdefender GravityZone + Ninja Data Protection consente al pacchetto NinjaOne Protect di prevenire, rilevare e rispondere agli attacchi ransomware, riducendo potenzialmente il relativo impatto sulla tua attività.
Iscriviti subito per richiedere una prova gratuita di NinjaOne Protect.
