In qualunque fase dell’attacco da ransomware, le aziende hanno una possibilità di difesa. Ad esempio, nella fase di delivery, possono usare i documenti allegati a link o macro malevole per bloccare le e-mail sospette. Questo consente ai team di sicurezza di rilevare i file che stanno tentando di creare nuovi valori di registro e scovare attività sospette sugli endpoint.
Quando il ransomware cerca di prendere il comando e il controllo, i team di sicurezza possono bloccare i tentativi di connessione in uscita verso l’infrastruttura malevola nota. Possono usare gli indicatori di minacce per stabilire un collegamento tra i tentativi di compromissione degli account e di accesso alle credenziali e le campagne di attacco più familiari, studiare il mapping di rete e scoprire tentativi lanciati da account e dispositivi non previsti.
Prevenire è sempre meglio che curare, anche in termini di costi, e questa affermazione è particolarmente vera nel caso del ransomware (lo conferma anche questo studio di Cybereason: Ransomware Report 2022: il vero costo per le attività), ma da dove partire? Un efficace piano di prevenzione contro il ransomware dovrebbe comprendere le seguenti azioni:
- Seguire le best practice dell’igiene informatica: è importante installare le patch per tempo e accertarsi che i sistemi operativi e altri software vengano aggiornati regolarmente, integrare un programma di consapevolezza sulla sicurezza per i dipendenti e implementare le migliori soluzioni di protezione di rete possibili.
- Implementare funzionalità di prevenzione multilivello: le soluzioni di prevenzione come NGAV dovrebbero essere ormai lo standard su tutti gli endpoint aziendali sulla rete al fine di rilevare gli attacchi ransomware che sfruttano sia i TTP noti che malware custom.
- Installare le tecnologie Endpoint/Extended Detection and Response (EDR e XDR): puntare su soluzioni che rilevino le attività malevole nell’ambiente come un attacco RansomOps consente di avere la visibilità necessaria per porre fine agli attacchi ransomware prima che si verifichi l’esfiltrazione dei dati o che venga rilasciato il payload del ransomware.
- Assicurarsi che i “key player” siano raggiungibili: chi deve rispondere a un incidente dovrebbe essere disponibile a qualsiasi ora, poiché le operazioni di mitigazione potrebbero capitare durante il weekend o nei periodi di vacanza. È fondamentale aver assegnato chiaramente questi ruoli in grado di agire tempestivamente in caso di incidenti di sicurezza anche oltre il normale orario di lavoro.
- Svolgere esercitazioni table-top periodiche: per garantire una risposta fluida agli incidenti, le prove interfunzionali dovrebbero prevedere la presenza dei decisori chiave nei reparti Legale, Risorse Umane, Supporto IT e altri, fino al team esecutivo.
- Stabilire pratiche di isolamento chiare: serviranno a fermare un’ulteriore penetrazione nella rete o la diffusione del ransomware in altri dispositivi o sistemi. I team preposti devono essere esperti nello scollegare un host, bloccare un account compromesso o un dominio malevolo ecc.
- Valutare provider di servizi di sicurezza gestiti: se la vostra organizzazione di sicurezza è carente di risorse o competenze, concordate in anticipo procedure di risposta agli incidenti con il vostro MSP, in modo che possa agire immediatamente seguendo un piano prestabilito.
- Bloccare gli account critici durante il weekend e le vacanze: il percorso che gli attaccanti di solito seguono per propagare un ransomware in una rete è impossessarsi dei privilegi di livello admin per poi diffondere il ransomware. I team dovrebbero creare degli account altamente sicuri e di sola emergenza all’interno dell’Active Directory, che possano essere usati solamente quando gli altri account operativi sono temporaneamente disabilitati per precauzione o inaccessibili durante un attacco da ransomware. Per saperne di più sulle minacce ransomware nei weekend e durante le vacanze, Cybereason ha pubblicato uno studio sul tema: “Organizations at Risk: Ransomware Attackers Don’t Take Holidays“.
Ricordiamoci che l’effettivo payload del ransomware è solamente il fanalino di coda di un attacco RansomOps e, potenzialmente, potete sfruttare settimane o persino mesi di attività rilevabile per interrompere l’attacco prima che sfoci in un impatto grave.
A cura di William Udovich, Vice President Southern Europe and Africa di Cybereason
