Un numero crescente di gruppi ransomware sta adottando una nuova tecnica per criptare i dati presenti nei sistemi bersaglio: questa nuova tecnica li aiuta a velocizzare la criptazione, quindi riduce la possibilità che le soluzioni EDR o semplicemente antivirus possano individuare e bloccare la routine di criptazione.
Questa tecnica si chiama criptazione intermittente e consiste nel criptare soltanto parti del contenuto dei file sotto attacco: i file saranno comunque inaccessibili e irrecuperabili senza ottenere la chiave di decriptazione, ma è indubbio che "il lavoro" che deve svolgere il ransomware si riduce drasticamente. E con esso il tempo necessario per criptare un intero sistema. Per parlare concretamente: saltare ogni 16 byte di file consente di criptare un file nella metà del tempo che solitamente occorrerebbe per una criptazione completa. Il risultato non cambia però: il contenuto del file diviene inaccessibile.
C'è un secondo vantaggio, per gli attaccanti: la criptazione è più leggera, più blanda quindi è più complesso, per gli strumenti di rilevamento automatico che si basano sull'individuazione degli attacchi rilevando e segnalando pesanti operazioni di modifica sui file.
Per saperne di più > Il fattore tempo: quale ransomware cripta più velocemente i dati?
La criptazione intermittente è sempre più diffusa
Questa tecnica è stata utilizzata, per la prima volta, dal famigerato ransomware LockFile: era la metà del 2021. Ormai però vi sono player di peso del panorama ransomware come Black Basta, BlackCat, Agenda che ne hanno fatto la tecnica di attacco privilegiata.
Non solo: la criptazione intermittente è uno dei vantaggi che i gruppi ransomware sottolineano nelle vere e proprie operazioni di marketing con le quali "spingono", nell'uderground hacking, le proprie operazioni Ransomware as a Service. E' un vantaggio competitivo, a tutti gli effetti, rispetto ad altre operazioni ransomware più lente e con maggiore rischi di essere individuate e bloccate dalle soluzioni di sicurezza.
Per fare un esempio, il RaaS Agenda offre la criptazione intermittente come opzionale ed è perfino configurabile. Ad esempio l'affiliato può, oltre a scegliere se attivarla o meno, stabilire se skippare ogni tot MB di un file, criptare solo i primi N MB di un file o scegliere addirittura in che percentuale criptare i MB del file.
 |
| Le impostazioni disponibili per il ransomware Agenda. Fonte: SentinelLabs |
BlackCat, famigerata operazione ransomware che in Italia si è fatta ben conoscere, permette di impostare una serie di parametri per personalizzare la criptazione intermittente. Ad esempio l'affiliato può scegliere se criptare solo i primi byte di un file, ma può anche scegliere una combinazione di più criteri.
BlackBasta invece non consente troppe personalizzazioni delle modalità di criptazione, perchè è la variante stessa del ransomware che stabilisce cosa fare in base alle dimensioni del file. Se un file pesa peno di 704 byte, cripta tutto il contenuto. Per i file tra i 704 e 4 KB cripta 64 byte quindi salta i 192 successivi.
La criptazione intermittente sarà il modello del futuro per i RaaS
La criptazione intermittente sembra non avere svantaggi per gli attaccanti. Ecco perché gli esperti e gli analisti di cyber security si aspettano che questo modello diventi dominante nel mondo dei RaaS, esattamente come è stato per il meccanismo della doppia (e anche tripla) estorsione. Lanciato dal ransomware Maze, il modello di doppia estorsione è ormai il modello dominante per tutte le operazioni RaaS di successo. Ad esempio se tale tecnica viene adottata da LockBit, che già è il ransomware più veloce tra quelli attualmente esistenti, diverrà molto difficile arrestarne la routine di criptazione. Qyick, essendo scritto in GO è già estremamente veloce: figuriamoci dopo l'adozione della criptazione intermittente.
L'unico limite è che se la criptazione intermittente non viene attuata correttamente (per gli attaccanti) si rende più facile il recupero dei dati da parte delle vittime. Ma in termini di prevenzione degli attacchi ransomware, questa tecnica porterà grandi vantaggi al cyber crime.
Proteggersi dai ransonmware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
- Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E' fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI. - Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all'ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità. - Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti. - Adotta l'approccio zero trust:
applica il principio del "privilegio minimo" per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota - Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l'accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l'attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l'utente. E' fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l'assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum - Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l'anello debole della catena di cyber sicurezza e sicurezza dei dati è l'utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware. - Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l'RDP, fallo sempre tramite una VPN.
- Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite! - Implementa sistemi di protezione preventiva:
come l'Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Nessun commento:
Posta un commento