#74 Ransomware: Preparati e non entrare nel panico
Subscribe to get the latest
on Wed Jan 26 2022 16:00:00 GMT-0800 (Pacific Standard Time)
with Darren W Pulsipher, Stephanie Sabatini,
Darren Pulsipher, Chief Solution Architect, Intel, parla con Stephanie Sabatini, Sr. Director, Professional Services, Hitachi Systems Security, riguardo alla prevenzione e preparazione agli attacchi ransomware e a cosa fare nel caso in cui la tua organizzazione venga attaccata.
Keywords
Anche se per la maggior parte delle organizzazioni un attacco ransomware inizia con una richiesta di riscatto di qualche tipo, la storia completa di solito è stata in preparazione per molti mesi.
La richiesta di riscatto avviene dopo che gli aggressori hanno criptato le informazioni dai sistemi compromessi e hanno bloccato tutto ciò che potevano, oppure hanno rubato informazioni sensibili e minacciano ora di diffonderle pubblicamente. In entrambi i casi, essi richiedono una somma di denaro per impedire la divulgazione o per ripristinare le informazioni.
La somma di denaro può essere mirata perché gli attaccanti sanno quanto la società può permettersi e chiederanno una cifra enorme. Gli attacchi meno mirati chiederanno una quantità casuale e sperano di ottenere un colpo. Sempre più spesso, però, gli attacchi sono sofisticati e gli attaccanti hanno fatto i loro compiti. Potrebbero aver ottenuto un notevole successo, spostandosi lateralmente nell’ambiente e compromettendo più domini. Sanno che ristabilire i servizi costerà all’organizzazione una quantità enorme, quindi possono chiedere di più.
Ma prima che gli attaccanti chiedano il riscatto, sono stati all’interno del sistema per un po’ di tempo, in media poco meno di 300 giorni, fino a quando eseguono completamente il loro piano. Cercano di arrivare il più lontano possibile all’interno della rete per renderlo il più impattante possibile. Ad esempio, distruggeranno l’executor del backup in modo da paralizzare l’organizzazione, lasciando dati di backup corrotti e inutilizzabili. Dedicheranno anche del tempo per compromettere le credenziali per l’escalation dei privilegi per muoversi lateralmente all’interno della rete e individuare eventuali vulnerabilità.
Ogni attacco è diverso, quindi è difficile nominare la vulnerabilità più comune. Gli attaccanti trovano qualsiasi punto d’accesso possibile, che sia una debolezza nella gestione delle vulnerabilità o persino nelle persone, ad esempio gli attacchi di phishing o le tattiche di ingegneria sociale. Faranno chiamate telefoniche e si faranno passare per dirigenti o useranno nomi simili a quelli dei dirigenti per ottenere informazioni e dati dagli impiegati online.
Molti nell’industria diranno che non è una questione di se, ma di quando verrai attaccato. Stephanie, tuttavia, non crede che sia così perché con la dovuta diligenza, mettendo a punto le misure di sicurezza appropriate e adottando i passi necessari, non verrete presi di mira.
La due diligence è ciò che gli esperti di sicurezza predicano da decenni: effettuare la gestione delle vulnerabilità e delle patch, cambiare le password e limitare i privilegi se possibile. Addestra il tuo personale. Gli amministratori non dovrebbero utilizzare gli account di amministrazione su Internet per pubblicare su forum, ad esempio. Si tratta di capire quali sono le potenziali aree di attacco e gestirle.
Cosa dovresti fare se sei vittima di un attacco ransomware? Stephanie afferma che ciò che le persone dovrebbero fare e ciò che fanno in realtà sono due cose diverse. La prima reazione impulsiva degli specialisti IT spesso è quella di riavviare, applicare patch o modificare significativamente l’ambiente. Questo avviserà solo gli attaccanti che è giunta loro l’ora. Per le indagini forensi, è estremamente importante essere prudenti in tali ambienti. Cerca di digitare il meno possibile e non riavviare assolutamente.
Alcune aziende andranno nel panico e si metteranno in atto dei denial of service su se stesse, passando in modalità di lockdown totale, chiudendo tutto. Piuttosto che panico, dovrebbero fare affidamento sulle loro politiche di risposta agli incidenti e rendersi conto che il problema può essere risolto anche se non sarà piacevole.
Ovviamente, ogni azienda dovrebbe avere queste politiche di risposta agli incidenti che possono essere attivate rapidamente per gestire le comunicazioni internamente e con i media e mantenere l’attività in corso, se possibile. I professionisti della sicurezza possono aiutare a creare questi piani di risposta e possono intervenire e fornire assistenza durante un attacco.
Il loro primo passo per preservare le informazioni è osservare alcune delle attività sospette che si verificano nella rete. Gli attacchi ransomware non iniziano con la crittografia o il furto di informazioni; ci sono molti attacchi preliminari. È importante identificare da dove provengono, dove hanno avuto origine e dove sono stati. Per fare ciò, i professionisti della sicurezza hanno bisogno di prove e informazioni che devono essere adeguatamente preservate. Un buon inizio è mettere le persone giuste nel posto giusto per gestire la situazione.
Il passo successivo è la corretta gestione dell’ambiente. Purtroppo, una volta che si verifichi ransomware o qualsiasi tipo di violazione o incidente, l’organizzazione è altamente vulnerabile. Cento per cento delle volte, quando gli ambienti sono stati oggetto di attacchi ransomware riusciti, pubblicizzati o meno, vengono presi di mira dallo stesso gruppo o da un gruppo diverso. È come un animale ferito circondato dai avvoltoi. Gli aggressori sanno che sei ferito e vulnerabile. Un altro attacco è imminente.
Molto spesso, quando i professionisti della sicurezza conducono le loro indagini, trovano altri indicatori di attacco e compromissione in diverse parti della rete. Devono determinare se fa parte dello stesso attacco o di un attacco diverso. Questa indagine è una parte critica nel recupero dal malware, perché anche quando si pensa di aver risolto un attacco e l’attività aziendale sta di nuovo funzionando correttamente, c’è ancora il potenziale per questi altri attacchi.
Un tipico attacco costa in media quattro milioni e mezzo di dollari per essere ripristinato, e ciò non include il riscatto. L’importo può essere molto più grande ed è proporzionale alle dimensioni dell’organizzazione.
È impossibile essere certi di quante organizzazioni paghino il riscatto. Molti riscatti sono accompagnati da minacce di non contattare le forze dell’ordine o divulgare l’attacco. Per questo motivo, le statistiche disponibili sul numero di organizzazioni che pagano sono varie.
Alcune decisioni prese dai dirigenti di alcune organizzazioni consistono nel dichiarare che non pagheranno in alcuna circostanza, nemmeno se ciò comporta costi maggiori per la ricostruzione, distruggendo così la possibilità di negoziare. Si tratta di una decisione emotiva che può offuscare il giudizio. Alla fine della giornata, se l’obiettivo è continuare a fare affari e fare soldi, pagare un riscatto basso di forse dieci o ventimila dollari sarà meno costoso rispetto alle indagini forensi e al resto del processo. D’altra parte, ci sono casi documentati in cui il riscatto è stato pagato e i dati non sono stati completamente ripristinati. Inoltre, l’organizzazione non ha alcuna garanzia sulla sicurezza del suo ambiente. Non c’è alcuna certezza quando si paga un riscatto; si sta chiedendo ai criminali di agire in buona fede.
Molti governi in tutto il mondo hanno reso illegale pagare un riscatto perché gli aggressori vengono considerati terroristi e non è consentito negoziare con i terroristi. Un altro problema è che gli aggressori a volte rifiutano di trattare con negoziatori professionisti. Spesso nominano qualcuno all’interno dell’organizzazione come unica persona con cui desiderano negoziare, sperando che quella persona prenda decisioni emotive.
Le minacce vengono comunicate in diversi modi: via email, telefono e persino come sfondo del desktop.
La migliore strategia per evitare o mitigare un attacco è non aspettare fino a quando la tua organizzazione si trova in quella situazione. Piuttosto, svolgi un’attenta analisi. Effettua valutazioni almeno annualmente per individuare le lacune nella sicurezza. Le minacce e gli attacchi cambiano costantemente e diventano sempre più sofisticati, quindi la sicurezza della tua organizzazione deve star al passo. Monitora e aggiorna continuamente. Gestisci le vulnerabilità, cambia continuamente le password e ricorda ed educa gli utenti sulle minacce. Queste non sono nuove strategie. I professionisti della sicurezza le hanno raccomandate da decenni; le organizzazioni stanno solo fallendo nel farle in modo corretto ed evolversi.
È anche intelligente chiamare gli esperti per guidare il processo di pianificazione ed esercizi di risposta agli incidenti. Tutti all’interno dell’organizzazione dovrebbero sapere cosa fare e a chi chiamare in caso di attacco per evitare ulteriori danni.
Se la tua organizzazione viene attaccata, speriamo che l’impatto sia minimo, o almeno contenuto e gestibile se è stato fatto un adeguato lavoro di preparazione. Qualsiasi tempo, energia e denaro che un’azienda investe in misure preventive rappresenta una piccola frazione del costo di un attacco.