Da un pò di tempo l’Italia è tra le prime nazioni al mondo per attacchi Ransomware con criptazione dei dati e conseguente richiesta di riscatto per riavere i propri dati e che non vengano pubblicati nel darkweb.
Non passa giorno che non venga notificato un attacco del genere ad istituzioni private e/o pubbliche, anche di primaria importanza.
E tra tutti gli attacchi possibili è quello più impattante per le aziende e/o gli enti.
Ma vediamo quali sono le metodologie di attacco.
Nella fase iniziale i criminali informatici studiano la rete aziendale al fine di poterci entrare in qualche modo.
Nella maggior parte dei casi, per entrare si servono di uno dei seguenti vettori di infezione:
- furto di password,
- attacchi brute force,
- vulnerabilità del software o phishing.
Una volta entrati nel sistema informatico aziendale cercano di prendere possesso delle credenziali più importanti del sistema informativo.
I vettori più importanti di infezione comunque rientrano nel terzo tipo, tipicamente mail di phishing inviate ad utenti con allegati dannosi che, una volta aperti, installano il software dannoso.
Il tutto può durare anche solo pochi minuti dall’inizio dell’attacco. La pianificazione è più lunga ma ormai esistono svariati tools che possono essere acquistati per poter personalizzare e rendere veloce l’attacco.
Una delle tecniche più comunemente osservate negli attacchi ransomware è l’uso degli account degli amministratori.
Questi sono bersagli critici, in quanto le aziende tendono a utilizzare un’unica password per tutti gli account di amministrazione locali.
Una volta ottenuti i privilegi di amministratore, nelle tradizionali soluzioni AV ed EDR, gli aggressori possono manomettere le configurazioni di sicurezza per disattivare i controlli ed evitare il rilevamento, e scaricare e installare un payload sull’endpoint della vittima.
Una volta arrivati ai controller di dominio, si sfruttano quest’ultimi per propagare il software malevolo su tutta la rete informatica.
A questo punto il software cercherà di esfiltrare quanti più dati possibili e nel contempo criptarli per renderli inutilizzabili dal legittimo possessore. L’attività di esfiltrazione è la novità degli ultimi due/tre anni in quanto permette un maggiore ricatto verso la vittima, minacciandola di rendere pubblici i dati (e lo fanno) se non si paga il riscatto in poco tempo.
Ci sono soluzioni per fermare questi attacchi?
La risposta è che sistemi sicuri al 100% nell’informatica non esistono e non esisteranno probabilmente mai. Ma ci sono molte best practices che possono essere implementate nelle aziende/enti anche a costi accessibili per poter minimizzare il rischio e l’impatto di questi attacchi.
Ne vedremo qualcuno nei prossimi articoli.