cybersecurity, News, report

Ransomware: sempre più veloce negli attacchi alle aziende

Chiamati anche rogueware o scareware, i ransomware sono un tipo di virus che prende il controllo del computer di un utente ed esegue la crittografia dei dati al fine di chiedere un riscatto (in inglese, “ransom”), per ripristinare il normale funzionamento.

Questo programma può “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.).

Recentemente gli abbiamo dedicato un intero articolo, clicca qui per leggerlo.

La durata degli attacchi ransomware nel 2021 è stata in media di 92,5 ore, misurata dall’accesso iniziale alla rete al lancio del playload. Nel 2020, i cybercriminali del ransomware hanno impiegato in media 230 ore per completare i loro attacchi e 1637,6 ore nel 2019.

Questo cambiamento riflette un approccio più snello che si è sviluppato gradualmente nel corso degli anni al fine di rendere più redditizie le operazioni su larga scala.

Allo stesso tempo, i miglioramenti nella risposta agli incidenti e nel rilevamento delle minacce hanno costretto i criminali informatici a a muoversi più rapidamente, lasciando alle vittime un margine di reazione sempre più breve.

Panoramica

Nella sue recente indagine, il team di IBM X-Force ha raccolto i dati degli incidenti ransomware avvenuti tra il 2019 e il 2021.

Quello che è stato rilevato è che in ogni attacco, l’accesso alla rete della vittima è stato ottenuto tramite un broker di accesso iniziale (i broker di accesso iniziale sono criminali informatici specializzati nella violazione di società e quindi nella vendita di accesso ad attaccanti ransomware).

Il focus della ricerca è stato quella di comprendere meglio la durata delle attività durante le varie fasi di un attacco ransomware.

I risultati di questa ricerca hanno rivelato che la durata media di un attacco ransomware aziendale (tempo tra l’accesso iniziale e il lancio del ransomware) è diminuita del 94,34% tra il 2019 e il 2021. Si tratta di una riduzione sostanziale e sebbene il tempo del ciclo di vita dell’attacco ransomware sia diminuito in modo significativo, la ricerca non ha rivelato cambiamenti sostanziali negli strumenti, nelle tecniche e nelle procedure utilizzate dagli attori delle minacce.

Inoltre, X-Force ha analizzato la capacità delle aziende di prevenire, rilevare e rispondere agli attacchi prima del lancio del ransomware e ha scoperto che gli attacchi ransomware hanno sempre avuto successo contro le organizzazioni che non hanno implementato misure efficaci per combattere la minaccia del ransomware .

Invece, diverse evidenze hanno rivelato che il tempo necessario per trasferire l’accesso dal broker a una sessione interattiva per eseguire l’attacco ransomware è diminuito in modo significativo e gli operatori di ransomware sono diventati più efficienti nell’ottenere un accesso privilegiato ad Active Directory e nell’implementazione del ransomware.

Comprendere la velocità e l’efficienza degli attacchi ransomware consente alle organizzazioni di sviluppare una strategia di rilevamento e risposta progettata specificamente per affrontare questa minaccia.

Dal broker di accesso alla crittografia

Gli Initial Access Broker (IAB) sono gruppi criminali che ottengono l’accesso o le credenziali di aziende e organizzazioni e poi vendono tale accesso ad altri criminali informatici a scopo di lucro. Gli IAB possono ottenere vari livelli di accesso in una rete vittima, che vanno dalle credenziali ai servizi remoti come la rete privata virtuale (VPN), il protocollo desktop remoto (RDP),  web shells e utilizzare malware come TrickBot, Dridex, Emotet o Buer Loader per stabilire un punto d’appoggio in una rete vittima.

Nel 2019 è stata scoperta una relazione tra Emotet, TrickBot e Ryuk ransomware, in cui agli operatori del ransomware Ryuk è stato concesso l’accesso a un’organizzazione attraverso un’infezione TrickBot. Il percorso di attacco da TrickBot a Ryuk ha comportato un aumento del 90% degli attacchi ransomware indagati da X-Force Incident Response (IR) nel 2019.

Con l’aumento della popolarità del modello Ransomware as a Service (RaaS) fino al 2020, si è stabilita la relazione tra il malware di prima fase e gli attacchi ransomware come Dridex malware a BitPaymer ransomware o Gootkit malware a REvil ransomware.

Per tutto il 2021, l’affiliata ransomware Conti è esplosa in popolarità ed è stata associata all’ottenimento dell’accesso tramite infezioni Emotet e IcedID.

Come funziona un attacco ransomware

Nel novembre 2021, X-Force ha pubblicato una ricerca che descrive in dettaglio come la maggior parte degli attacchi ransomware si verifica in un prevedibile schema a cinque fasi:

  1. accesso iniziale;
  2. punto di appoggio post-sfruttamento;
  3. ricognizione/raccolta di credenziali/movimento laterale;
  4. raccolta ed estrazione di dati
  5. lancio del ransomware.

Sebbene non ci siano due incidenti ransomware identici, analizzando le evidenze in tutte le indagini relative al ransomware in cui l’accesso iniziale è stato ottenuto tramite un IAB, X-Force ha identificato quattro obiettivi principali che hanno consentito agli operatori di ransomware di avanzare attraverso le 5 fasi di un attacco ransomware.

  • Stabilire un accesso interattivo
  • Muoversi lateralmente
  • Ottienere l’accesso privilegiato ad Active Directory
  • Distribuire il  ransomware su larga scala

Sebbene il furto di dati si verifichi nella maggior parte degli attacchi ransomware, le evidenze relative al furto di dati e la durata delle attività di furto sono limitate in molte indagini. X-Force non è stata in grado di trarre conclusioni concrete sul tempo trascorso dagli operatori di ransomware in questa fase dell’attacco.

La timeline di un attacco ransomware

Per comprendere i tempi di un attacco ransomware andato a buon fine, i ricercatori di X-Force hanno mappato le evidenze recuperate durante l’attività di risposta agli incidenti di X-Force nei momenti in cui l’Initial Access Broker ha ottenuto per la prima volta un punto d’appoggio all’interno della rete di destinazione, nonché quando l’avversario ha completato ciascuno dei quattro obiettivi principali dell’attacco ransomware.

Il trend relativo all’aumento della velocità e dell’efficienza negli attacchi ransomware è continuato per tutto il 2021 e il tempo medio per eseguire un attacco ransomware aziendale è stato ridotto a soli 3,85 giorni.

X-Force ha osservato riduzioni significative sia nella velocità di trasferimento dell’accesso dal broker all’operatore ransomware, sia nella rapidità con cui l’operatore ransomware è stato in grado di ottenere l’accesso privilegiato ad Active Directory.

L’analisi delle evidenze dell’incidente ransomware indica che la riduzione del tempo dal broker all’operatore di ransomware è probabilmente dovuta a campagne di infezione BazarLoader e IcedID su larga scala  e alle relazioni del broker con Conti.

Strumenti e tecniche di un attacco

In termini di strumenti e metodi utilizzati dagli operatori ransomware, Cobalt Strike è comune per le sessioni interattive, RDP per il movimento laterale, Mimikatz e LSASS dump per le credenziali e SMB + WMIC e Psexec sono in genere usati per distribuire i payload sugli host di rete.

Fronteggiare il ransomware

Per valutare quanto un’azienda sia preparata a fronteggiare la minaccia dil ransomware e determinare se la crescente velocità degli attacchi  è dovuta alla maggiore sofisticatezza per aggirare i controlli di sicurezza o le soluzioni di rilevamento e risposta, X-Force ha confrontato i controlli di sicurezza esistenti e le capacità di rilevamento e risposta delle vittime contro i componenti fondamentali del modello di disponibilità del ransomware di X-Force.

X-Force differenzia protezione e rilevamento/risposta in base alle seguenti condizioni:

  1.  controllo di protezione: sono implementazioni di progettazione volte a prevenire il verificarsi di un attacco o il passaggio alle fasi successive del ciclo di vita dell’attacco;
  2. controllo di rilevamento e risposta: sono soluzioni tecniche progettate per rilevare e agire sulle attività dell’attaccante mentre l’attaccante tenta di procedere attraverso le fasi del ciclo di vita dell’attacco.

Rilevamento più veloce ma non sufficiente

Le prestazioni dei sistemi di rilevamento e risposta delle minacce nel 2021 sono migliorate dal 2019, ma ciò non è stato sufficiente, affermano i ricercatori.

Lo sviluppo più impressionante in quest’area sono le soluzioni di rilevamento degli endpoint. Nel 2019, solo l’8% delle organizzazioni interessate disponeva di tale capacità, mentre nel 2021 questa percentuale è cresciuta fino al 36%.

Sebbene queste cifre mostrino un graduale miglioramento del rilevamento, c’è ancora un divario significativo che i criminali informatici possono sfruttare.

Conclusione

I risultati di questa analisi indicano che il ciclo di vita degli attacchi ransomware non ha subito grandi innovazioni nel corso degli anni.

Inoltre, le riduzioni dei tempi di attacco sono probabilmente dovute all’operazionalizzazione degli attacchi ransomware all’interno degli affiliati ransomware e all’esecuzione contro organizzazioni che devono ancora implementare soluzioni di protezione, rilevamento e risposta progettate per combattere la minaccia ransomware.

Considerando le tendenze osservate attraverso l’analisi delle tempistiche degli attacchi ransomware, X-Force sostiene che gli attacchi ransomware continueranno ad aumentare in termini di velocità ed efficienza per tutto il 2022.

X-Force raccomanda alle organizzazioni di investire adeguatamente in strumenti di protezione, rilevamento e risposta per combattere efficacemente l’aumento velocità del ciclo di vita dell’attacco.

Scopri come le soluzioni Intrusa possono aiutarti a contrastare i ransomware e altri attacchi informatici.