La costante crescita degli attacchi ransomware sta generando un perenne stato di allarme sia all’interno del settore pubblico sia in quello privato. Nonostante la presenza sul mercato di diverse soluzioni di protezione anti-virus, il ransomware continua a essere un problema critico per 6 motivi diversi:
Le vulnerabilità di Windows non si possono correggere
Microsoft Windows e il software aziendale associato sono pieni di vulnerabilità. Nello specifico, a marzo quattro minacce zero day presenti nel software MS Exchange hanno causato violazioni in migliaia di aziende.
La vulnerabilità PrintNightmare, che consente l’esecuzione di codice remoto nel servizio Printer Spooler di Windows, è stata sfruttata in strumenti di hacking come Mimikatz e Metasploit. Nonostante l’applicazione delle patch, i ricercatori hanno scoperto che possono essere raggirate.
Negli ultimi due anni gli attacchi NTLM-relay hanno sfruttato molte vulnerabilità di escalation dei privilegi. Tra queste, PetitPotam consente agli aggressori di ottenere il controllo totale dei controller di dominio della rete.
In aggiunta, alcuni bug rimangono nascosti per anni o addirittura decenni. Ne è un esempio la vulnerabilità di escalation dei privilegi in Windows Defender, CVE-2021-24092, rimasta senza patch per 12 anni.
Certamente è un dato di fatto che vengano creati di continuo nuovi bug con nuovo codice e che Microsoft debba introdurre altre funzionalità e scrivere un diverso codice per gli utenti aziendali. Ad esempio, è recente la vulnerabilità locale di escalation dei privilegi HiveNightmare (alias SeriousSAM) che è stata introdotta in Windows 10, versione 1809, consentendo a qualsiasi utente di ottenere privilegi SYSTEM completi e mettendo così in allarme i team di sicurezza.
In definitiva, se HiveNightmare richiede di avere un punto d’appoggio sul sistema per poterlo sfruttare, la sua unione con altre vulnerabilità come PrintNightmare può consentire a un malintenzionato di accedere con le relative autorizzazioni, causando una compromissione e diffondendo un attacco ransomware.
Gli strumenti di sicurezza tradizionali non riescono a contrastare gli attacchi sofisticati
Windows Defender, il software di sicurezza di Microsoft integrato nei device Windows, non è in grado di bloccare gli attacchi caratterizzati da una tecnologia avanzata. Ne è un esempio la mancata difesa contro l’attacco Sunburst/SolarWinds, secondo NETRESEC.
Un altro aspetto importante riguarda il fatto che i malintenzionati, con l’obiettivo di sottrarre i dati per richiedere il riscatto, possiedono tutti i tool necessari per ottenerli. Un esempio noto è quello di EternalBlue, utilizzato negli attacchi WannaCry e NotPetya.
A peggiorare ulteriormente questo scenario, sul Dark Web è possibile accedere a potenti strumenti sviluppati da altri, utilizzando il modello di business del Ransomware as a Service. In questo modo si crea una serie di ransomware capace di violare qualsiasi tipo di azienda. L’unica soluzione a questo problema richiede l’adozione di strumenti sofisticati, in grado di rispondere autonomamente e proattivamente ai cyberattacchi.
Il cybercrime è più remunerativo che rischioso
Rispetto al passato, i cybercriminali sono consapevoli di poter guadagnare molto attraverso il ransomware, attraverso una doppia estorsione: la crittografia dei file da una parte, l’esfiltrazione dei dati e il ricatto delle vittime dall’altra. Il gruppo del ransomware REvil ha di recente sfruttato un bug nel software Kaseya VSA, chiedendo una somma forfettaria di 50 milioni di dollari in cambio di una chiave di decrittazione universale, mentre l’anno scorso i pagamenti di estorsione con il ransomware hanno raggiunto circa 350 milioni di dollari in criptovaluta a livello globale.
La criptovaluta facilita il pagamento
La pandemia ha fatto esplodere il mercato dei Bitcoin, particolarmente attraenti per i cybercriminali perché conservano l’anonimato della persona con l’utilizzo della tecnologia blockchain per registrare la proprietà. Inoltre, la fase di “cash out”, ovvero la conversione della criptovaluta in contanti, è gestita sapientemente da gruppi di criminali della finanza, che offrono i loro servizi ai cybercriminali per oscurare il tracciamento di tali pagamenti.
Le imprese si affidano ancora agli anti-virus tradizionali
La maggior parte delle aziende utilizza soluzioni anti-virus tradizionali che sono tecnologie obsolete poiché si basano su firme di file malware e hash. Di fatto, si stima che ci siano stati 9,9 miliardi di attacchi malware a livello globale solo nel 2019, in aumento rispetto agli 8,2 miliardi del 2015.
Gli attacchi alla catena di approvvigionamento, gli attacchi fileless e i kit di exploit con metodi di aggiramento mostrano che i malintenzionati riescono ad eludere i tradizionali approcci alla sicurezza grazie allo scambio di notizie e tecniche nei forum del darknet.
Gli attacchi colpiscono i device, non il cloud
Al contrario delle soluzioni di protezione anti-virus, l’infrastruttura di rete è cambiata molto con il cloud. Di fatto, l’infrastruttura on-premise, il cloud ibrido, i modelli di servizio IaaS e PaaS e i carichi di lavoro containerizzati, hanno modificato gli ambienti in cui si opera grazie alla potenza di calcolo del cloud.
Tuttavia, anziché proteggere gli endpoint utilizzando un server remoto, è necessario che le workstation Windows o Linux dei dipendenti, i laptop macOS o i device personali, l’IoT dell’ufficio o i server dell’azienda – on premise o nel cloud – dispongano di un agente autonomo, capace di rispondere alla velocità della macchina ad una minaccia.
La soluzione è già disponibile
È possibile contrastare il ransomware e il fattore velocità è decisivo. A questo riguardo, oltre all’apporto di un team IT specializzato, è funzionale l’IA comportamentale, che opera in modo autonomo, proteggendo alcune delle imprese più importanti su scala globale con la piattaforma Singularity XDR, capace di fronteggiare in maniera adeguata tale minaccia.
a cura di Paolo Ardemagni, Regional Director of Sales Southern Europe and Emerging Markets di SentinelOne