Passa al contenuto principale

Milano, 23 giugno 2022

Il team di Threat Intelligence di Kaspersky ha condotto un'analisi sulle tattiche, le tecniche e le procedure (TTP) più comuni utilizzate durante gli attacchi dagli 8 gruppi di ransomware più prolifici, come Conti e Lockbit2.0. La ricerca ha rivelato che gruppi diversi condividono più della metà della catena di cyber-kill ed eseguono le fasi principali di un attacco in modo identico. Questo studio molto importante sul ransomware moderno, disponibile gratuitamente, servirà a capire come operano i gruppi di ransomware e come difendersi dai loro attacchi.

La ricerca si concentra sull'attività di Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte e BlackCat. Questi gruppi sono stati attivi nel periodo compreso tra marzo 2021 e marzo 2022, in Stati Uniti, Gran Bretagna e Germania e hanno preso di mira oltre 500 organizzazioni in settori quali la produzione, lo sviluppo di software e le piccole imprese.

La ricerca, di 150 pagine, guida i lettori attraverso le fasi di diffusione del ransomware, il modo in cui i criminali informatici utilizzano i loro strumenti preferiti e gli obiettivi che sperano di raggiungere. Spiega anche come difendersi dagli attacchi ransomware mirati e quali sono le regole di rilevamento SIGMA, che possono essere utilizzate per costruire delle misure preventive contro gli attaccanti.

Il team di Threat Intelligence di Kaspersky ha analizzato il modo in cui i gruppi di ransomware hanno impiegato le tecniche e le tattiche descritte in MITRE ATT&CK e ha riscontrato molte somiglianze tra le loro TTP lungo tutta la catena di cyber-kill. Le modalità di attacco dei gruppi si sono rivelate piuttosto prevedibili: gli attacchi ransomware seguono uno schema che comprende la rete aziendale o il computer della vittima, la distribuzione del malware, le nuove scoperte, l'accesso alle credenziali, l'eliminazione delle copie shadow, la rimozione dei backup e, infine, il raggiungimento degli obiettivi.

I ricercatori spiegano anche da dove deriva la somiglianza tra gli attacchi:

●     L'emergere di un fenomeno chiamato "Ransomware-as-a-Service" (RaaS), secondo il quale gruppi di ransomware non distribuiscono il malware da soli, ma forniscono solo i servizi di crittografia dei dati. Dal momento che chi distribuisce i file dannosi vuole anche semplificarsi la vita, vengono utilizzati metodi di consegna dei modelli o strumenti di automazione per ottenere l'accesso.

●     Il riutilizzo di strumenti vecchi e simili rende la vita più facile agli attaccanti e riduce il tempo necessario per preparare un attacco.

●     Il riutilizzo di TTP comuni facilita l'hacking. Sebbene sia possibile rilevare tali tecniche, è molto più difficile farlo in modo preventivo su tutti i possibili vettori di minaccia.

●     L'installazione lenta di aggiornamenti e patch da parte delle vittime. Spesso vengono attaccate le vittime ritenute più vulnerabili.

La sistematizzazione dei vari TTP utilizzati dagli attaccanti ha portato alla formazione di un insieme generale di regole SIGMA in conformità con MITRE ATT&CK - che aiuta a prevenire tali attacchi.

“Negli ultimi anni, il ransomware è diventato un incubo per l'intero settore della cybersecurity, con continui sviluppi e miglioramenti da parte degli operatori del ransomware. Per gli specialisti di cybersicurezza è lungo e spesso impegnativo studiare ogni singolo gruppo di ransomware e seguirne le attività e gli sviluppi, per cercare di vincere la gara tra attaccanti e difensori. Abbiamo seguito a lungo l'attività dei vari gruppi di ransomware e questo rapporto rappresenta il risultato di un enorme lavoro di analisi. Il suo scopo è quello di fungere da guida per i professionisti della cybersecurity che lavorano in tutti i tipi di organizzazioni, facilitando il loro lavoro,” ha commentato Nikita Nazarov, Team Lead Threat Intelligence Group di Kaspersky.

Questo report si rivolge agli analisti SOC, ai team di threat hunting, agli analisti di cyberthreat intelligence, agli specialisti di digital forensics e agli specialisti di cybersecurity coinvolti nel processo di incident response e/o che desiderano proteggere l'ambiente di cui sono responsabili da attacchi ransomware mirati.

Per saperne di più, i security expert di Kaspersky faranno luce sulle TTP comuni dei moderni gruppi di ransomware e sui modi per prevenire gli attacchi, durante un webinar che si terrà oggi, 23 giugno alle 17. È possibile registrarsi gratuitamente al seguente link.

La versione pubblica del rapporto sui TTP del ransomware è disponibile per il download su Securelist.com.

Per proteggere sé stessi e la propria azienda dagli attacchi ransomware, Kaspersky propone di:

  • Non esporre i servizi di remote desktop (come RDP) alle reti pubbliche se non è strettamente necessario. È importante utilizzare sempre password sicure per questi servizi.
  • Installare tempestivamente i patch disponibili per le soluzioni VPN commerciali che forniscono accesso ai dipendenti in remoto e servono da gateway nella rete.
  • Mantenere sempre aggiornato il software su tutti i dispositivi utilizzati, per evitare che il ransomware sfrutti le vulnerabilità.
  • Concentrare la strategia di difesa sul rilevamento dei movimenti laterali intrusivi di rete e della fuga di dati su Internet. È importante prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici.
  • Eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza.
  • Usare soluzioni come Kaspersky Endpoint Detection and Response Expert e Kaspersky Managed Detection and Response che aiutano a identificare e bloccare l’attacco nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi finali.
  • Proteggere l’ambiente aziendale attraverso la formazione dei dipendenti. Possono essere utili i corsi di formazione dedicati, come quelli forniti da Kaspersky Automated Security Awareness Platform.
  • Usare una soluzione affidabile per la sicurezza degli endpoint, come Kaspersky Endpoint Security for Business, dotata di prevenzione degli exploit, rilevamento dei comportamenti e un motore di ripristino in grado di annullare le azioni dannose. KESB dispone inoltre di meccanismi di autodifesa che ne impediscono la rimozione da parte dei criminali informatici.
  • Usare le informazioni più recenti di Threat Intelligenceper essere sempre al corrente sulle TTP adottate dai threat actor. Il portale Kaspersky Threat Intelligence è un unico punto di accesso per la TI di Kaspersky, fornisce dati e approfondimenti sui cyberattacchi raccolti dal nostro team da quasi 25 anni. Per aiutare le aziende a mettere in atto difese efficaci in questi tempi turbolenti, Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e le minacce in corso. È possibile richiedere l’accesso all’offerta al seguente link.  


Gli orribili otto: Kaspersky pubblica una guida pratica sulle tecniche dei principali gruppi di ransomware

Kaspersky Logo