Milano, 23 giugno 2022
Il team di Threat Intelligence di Kaspersky ha condotto un'analisi sulle
tattiche, le tecniche e le procedure (TTP) più comuni utilizzate durante gli
attacchi dagli 8 gruppi di ransomware più prolifici, come Conti e Lockbit2.0.
La ricerca ha rivelato che gruppi diversi condividono più della metà della
catena di cyber-kill ed eseguono le fasi principali di un attacco in modo
identico. Questo studio molto importante sul ransomware moderno, disponibile
gratuitamente, servirà a capire come operano i gruppi di ransomware e come
difendersi dai loro attacchi.
La ricerca si concentra sull'attività di Conti/Ryuk, Pysa, Clop (TA505),
Hive, Lockbit2.0, RagnarLocker, BlackByte e BlackCat. Questi gruppi sono stati attivi
nel periodo compreso tra marzo 2021 e marzo 2022, in Stati Uniti, Gran Bretagna
e Germania e hanno preso di mira oltre 500 organizzazioni in settori quali la
produzione, lo sviluppo di software e le piccole imprese.
La ricerca, di 150 pagine, guida i lettori
attraverso le fasi di diffusione del ransomware, il modo in cui i criminali
informatici utilizzano i loro strumenti preferiti e gli obiettivi che sperano
di raggiungere. Spiega anche come difendersi dagli attacchi ransomware mirati e
quali sono le regole di rilevamento SIGMA, che possono essere utilizzate per
costruire delle misure preventive contro gli attaccanti.
Il team di Threat Intelligence di Kaspersky ha
analizzato il modo in cui i gruppi di ransomware hanno impiegato le tecniche e
le tattiche descritte in MITRE ATT&CK e ha riscontrato molte somiglianze
tra le loro TTP lungo tutta la catena di cyber-kill. Le modalità di attacco dei
gruppi si sono rivelate piuttosto prevedibili: gli attacchi ransomware seguono
uno schema che comprende la rete aziendale o il computer della vittima, la
distribuzione del malware, le nuove scoperte, l'accesso alle credenziali,
l'eliminazione delle copie shadow, la rimozione dei backup e, infine, il
raggiungimento degli obiettivi.
I ricercatori spiegano anche da dove deriva la somiglianza tra gli
attacchi:
●
L'emergere di
un fenomeno chiamato "Ransomware-as-a-Service" (RaaS), secondo il
quale gruppi di ransomware non distribuiscono il malware da soli, ma forniscono
solo i servizi di crittografia dei dati. Dal momento che chi distribuisce i
file dannosi vuole anche semplificarsi la vita, vengono utilizzati metodi di
consegna dei modelli o strumenti di automazione per ottenere l'accesso.
●
Il riutilizzo di strumenti vecchi e simili rende la vita più facile agli
attaccanti e riduce il tempo necessario per preparare un attacco.
●
Il riutilizzo di TTP comuni facilita l'hacking. Sebbene sia possibile
rilevare tali tecniche, è molto più difficile farlo in modo preventivo su tutti
i possibili vettori di minaccia.
●
L'installazione lenta di aggiornamenti e patch da parte delle vittime. Spesso
vengono attaccate le vittime ritenute più vulnerabili.
La sistematizzazione dei vari TTP utilizzati dagli attaccanti ha portato
alla formazione di un insieme generale di regole SIGMA in conformità con MITRE
ATT&CK - che aiuta a prevenire tali attacchi.
“Negli ultimi anni, il
ransomware è diventato un incubo per l'intero settore della cybersecurity, con
continui sviluppi e miglioramenti da parte degli operatori del ransomware. Per
gli specialisti di cybersicurezza è lungo e spesso impegnativo studiare ogni
singolo gruppo di ransomware e seguirne le attività e gli sviluppi, per cercare
di vincere la gara tra attaccanti e difensori. Abbiamo seguito a lungo
l'attività dei vari gruppi di ransomware e questo rapporto rappresenta il
risultato di un enorme lavoro di analisi. Il suo scopo è quello di fungere da
guida per i professionisti della cybersecurity che lavorano in tutti i tipi di
organizzazioni, facilitando il loro lavoro,” ha commentato Nikita Nazarov, Team Lead Threat Intelligence Group di
Kaspersky.
Questo
report si rivolge agli analisti SOC, ai team di threat hunting, agli analisti
di cyberthreat intelligence, agli specialisti di digital forensics e agli
specialisti di cybersecurity coinvolti nel processo di incident response e/o che
desiderano proteggere l'ambiente di cui sono responsabili da attacchi
ransomware mirati.
Per saperne di più, i security expert di Kaspersky faranno luce sulle TTP
comuni dei moderni gruppi di ransomware e sui modi per prevenire gli attacchi,
durante un webinar che si terrà oggi, 23 giugno alle 17. È possibile
registrarsi gratuitamente al seguente link.
La versione pubblica del rapporto sui TTP del ransomware è disponibile per
il download su Securelist.com.
Per proteggere sé stessi e la propria azienda dagli attacchi ransomware, Kaspersky
propone di:
- Non esporre i servizi di remote desktop (come RDP) alle reti pubbliche
se non è strettamente necessario. È importante utilizzare sempre password
sicure per questi servizi.
- Installare tempestivamente i patch disponibili per le soluzioni VPN
commerciali che forniscono accesso ai dipendenti in remoto e servono da
gateway nella rete.
- Mantenere sempre aggiornato il software su tutti i dispositivi
utilizzati, per evitare che il ransomware sfrutti le vulnerabilità.
- Concentrare la strategia di difesa sul rilevamento dei movimenti
laterali intrusivi di rete e della fuga di dati su Internet. È importante
prestare particolare attenzione al traffico in uscita per individuare le
connessioni dei criminali informatici.
- Eseguire regolarmente il backup dei dati e assicurarsi di potervi
accedere rapidamente in caso di emergenza.
- Usare soluzioni come Kaspersky Endpoint
Detection and Response Expert e Kaspersky Managed
Detection and Response che aiutano a identificare e bloccare
l’attacco nelle fasi iniziali, prima che gli attaccanti raggiungano i loro
obiettivi finali.
- Proteggere l’ambiente aziendale attraverso la formazione dei
dipendenti. Possono essere utili i corsi di formazione dedicati, come
quelli forniti da Kaspersky Automated
Security Awareness Platform.
- Usare una soluzione affidabile per la sicurezza degli endpoint, come Kaspersky
Endpoint Security for Business, dotata di prevenzione degli exploit,
rilevamento dei comportamenti e un motore di ripristino in grado di
annullare le azioni dannose. KESB dispone inoltre di meccanismi di
autodifesa che ne impediscono la rimozione da parte dei criminali
informatici.
- Usare le informazioni più recenti di Threat Intelligenceper
essere sempre al corrente sulle TTP adottate dai threat actor. Il portale Kaspersky
Threat Intelligence è un unico punto di accesso per la TI di Kaspersky,
fornisce dati e approfondimenti sui cyberattacchi raccolti dal nostro team
da quasi 25 anni. Per aiutare le aziende a mettere in atto difese efficaci
in questi tempi turbolenti, Kaspersky ha annunciato l’accesso gratuito a
informazioni indipendenti, continuamente aggiornate e di provenienza
globale sui cyberattacchi e le minacce in corso. È possibile richiedere
l’accesso all’offerta al seguente link.