Gli aggressori di ransomware hanno adottato una serie di misure incrementali nell'ultimo anno che hanno portato a cicli di carico utile delle infezioni più brevi, richiedendo alle aziende di rispondere più rapidamente a potenziali comportamenti dannosi.
Nel suo "Rapporto sul panorama delle minacce informatiche 2022" pubblicato questa settimana, Deep Instinct ha affermato che i suoi dati mostrano che l'esecuzione, la persistenza e l'escalation dei privilegi sono state le prime tre azioni degli aggressori, come definito dal framework MITRE ATT&CK, suggerendo che gli avversari si erano concentrati sull'iniziale infiltrazione ed esecuzione del carico utile in contrapposizione a un ampio movimento laterale. Inoltre, la maggiore adozione di ransomware-as-a-service (RaaS), facilmente accessibile sul Dark Web, ha comportato un aumento del 15% delle minacce ransomware rilevate, secondo il rapporto.
Il panorama delle minacce sarà estremamente insidioso nei prossimi mesi, soprattutto con l'escalation delle operazioni informatiche a causa della guerra della Russia contro l'Ucraina, rendendo l'agilità difensiva molto importante, afferma Shimon Oren, vicepresidente della ricerca sulle minacce e dell'intelligence AI per Deep Instinct.
"Ciò significa che la prevenzione è più importante che mai", afferma. "Per alcuni tipi di attacchi, se non hai la postura corretta e sei in grado di rilevare e rimediare molto rapidamente, sarai vulnerabile e il danno sarà già stato fatto".
Regole del ransomware
Gli attacchi informatici e gli incidenti sono ora la principale preoccupazione per le aziende nel 2022 e il ransomware è la principale minaccia, con il 57% dei professionisti aziendali che valuta l'aumento del ransomware come la principale preoccupazione, secondo il recente Allianz Risk Barometer 2022. Sette società finanziarie su 10 hanno subito un attacco ransomware, con un riscatto medio che ha superato i 91,000 dollari, anche se il 70% delle aziende avrebbe o si sarebbe rifiutato di pagare il riscatto, secondo Egress, una società di sicurezza informatica focalizzata sulle minacce interne.
Il ransomware è diventato una minaccia endemica per la maggior parte delle aziende. Per mitigare il rischio, le aziende devono rafforzare la propria rete, i processi e le persone, afferma Tony Pepper, CEO e co-fondatore dell'azienda.
"Il miglior consiglio è di impedire che gli aggressori entrino in gioco", dice. “Rendere più difficile per loro ottenere l'accesso tramite e-mail in particolare, poiché la stragrande maggioranza del malware viene distribuita tramite e-mail di phishing. Implementa la tecnologia giusta per rilevare questi attacchi e assicurati che il tuo personale disponga degli strumenti e della formazione per individuare i tentativi di phishing".
La maggior parte delle aziende, tuttavia, si concentra sulla mitigazione del rischio aziendale complessivo, piuttosto che sui pericoli specifici della sicurezza informatica. Mentre l'83% delle aziende sta spendendo per l'anti-phishing, il 72% ha mantenuto una polizza di assicurazione informatica, il 64% ha mantenuto un consulente legale esterno e il 55% ha investito in un'indagine forense, secondo un rapporto sulle opinioni dei dirigenti sul phishing pubblicato da Egress.
Return on Investment
Per gli aggressori, si tratta di ritorno sull'investimento, che colpisce le organizzazioni che possono permettersi di pagare con più attacchi. Attualmente, la tripla estorsione, consistente nella crittografia dei dati, nel furto di dati e nell'utilizzo di un attacco denial-of-service, è il metodo preferito per spingere le aziende a pagare. Finché i rendimenti supereranno i costi, il ransomware continuerà, afferma Rotem Salinas, ricercatore senior di malware presso CyberArk.
"Il ROI per il ransomware è molto alto, sia quando si prendono di mira individui che organizzazioni, quindi non mi aspetto un calo del volume degli attacchi", afferma.
Gli aggressori stanno decisamente diventando sempre più sofisticati nei modi di offuscare il proprio malware, rendendolo più difficile da rilevare. Tuttavia, il fatto che l'attaccante scelga un attacco rapido e di grande impatto o uno spread più lento e più furtivo dipende dalle motivazioni e dagli obiettivi dell'attaccante.
In entrambi i casi, l'obiettivo difensivo dovrebbe essere quello di rafforzare l'ambiente informatico, prevenire l'attacco e automatizzare la risposta iniziale, perché altrimenti l'attaccante infetterà rapidamente altri sistemi o eseguirà il carico utile, afferma Oren di Deep Instinct. Più le aziende possono rallentare l'attaccante, meglio è, dice.
"Una forte prevenzione è fondamentale", afferma Oren. “Ci sono molti attacchi che non sarai in grado di catturare in una fase molto precoce, e se non lo fai, allora il gioco è finito: l'impatto è stato raggiunto. Ecco perché è necessario concentrarsi maggiormente sulle fasi iniziali della catena di uccisioni".
Inoltre, con una maggiore esperienza focalizzata sulla fornitura di ransomware-as-a-service e una varietà di basi di codice trapelate che consentono agli sviluppatori di malware di basarsi l'una sull'altra, il ransomware continuerà a diventare più sofisticato e ad evolversi rapidamente, afferma Salinas di CyberArk. Nel una recente analisi delle informazioni trapelate sul gruppo ransomware Conti, i ricercatori di CyberArk hanno trovato informazioni su come opera il gruppo, nonché il codice sorgente di alcuni dei malware e degli strumenti utilizzati dal gruppo.
"Ora che il codice sorgente di Conti è trapelato, è probabile che nuove varianti del malware verranno scoperte nel prossimo futuro", afferma.
Conti è il quarto ceppo di ransomware più comune, secondo Deep Instinct "Rapporto 2022 sul panorama delle minacce informatiche.” Le famiglie di malware STOP e REvil rappresentavano la stragrande maggioranza dei ransomware rilevati dall'azienda.
- Coinsmart. Il miglior scambio di bitcoin e criptovalute d'Europa.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. ACCESSO LIBERO.
- Criptofalco. Radar Altcoin. Prova gratuita.
- Fonte: https://www.darkreading.com/risk/accelerated-ransomware-attacks-pressure-targeted-companites-to-speed-response
