Il ransomware non è solo una minaccia in evoluzione, è una minaccia costante. LockBit e altri gruppi ransomware non si prendono giorni di ferie, e nemmeno le nostre difese. Abbiamo assistito a un recente promemoria di ciò, quando gli esperti hanno avvisato le organizzazioni che potrebbero avere una piccola finestra per prepararsi prima che la prossima ondata di attacchi ransomware inizi a crescere.
Con tattiche di infiltrazione costanti, crittografia rapida ed estorsione incessante, gli autori di ransomware come LockBit continuano a perfezionare i loro attacchi, rendendo le misure di sicurezza tradizionali sempre più insufficienti. Le organizzazioni devono adottare una strategia di difesa proattiva e stratificata per rilevare, prevenire e mitigare queste minacce prima che causino danni duraturi.
Questo blog esplorerà come si sviluppano questi attacchi, il loro impatto e, cosa più importante, le strategie chiave per rafforzare le difese prima che sia troppo tardi.
Ransomware in movimento
Il ransomware opera attraverso una serie di tattiche sofisticate progettate per infiltrarsi, crittografare e tenere in ostaggio dati preziosi. Comprendere il suo meccanismo di attacco è fondamentale per le organizzazioni per riconoscere i primi segnali di infezione e rafforzare le proprie difese. Dal suo ingresso iniziale nel sistema alla crittografia dei file e alla richiesta di riscatto. Il ransomware utilizza tecniche furtive per eludere il rilevamento, diffondersi rapidamente attraverso le reti e massimizzare l’impatto.
Questa sezione analizzerà nel dettaglio ogni fase dell’attacco, fornendo informazioni su come il ransomware sfrutta le vulnerabilità e sulle misure che le organizzazioni possono adottare per mitigare questa minaccia.
Fase 1: Infezione iniziale
Gli attacchi iniziali per ransomware si diffondono solitamente tramite campagne di phishing. Gli aggressori utilizzano email convincenti per indurre le vittime a scaricare allegati dannosi. Ciò avviene solitamente tramite:
- Creazione di e-mail personalizzate mirate, basate sulla paura, sull’urgenza o sulle tattiche eroiche (facendo sentire al lettore di essere l’unico in grado di portare a termine un compito prioritario).
- Altre tattiche:
- Sfruttare le vulnerabilità della VPN o utilizzare credenziali rubate per infiltrarsi negli ambienti di rete.
- Credential stuffing: tentativo di impossessarsi di più nomi utente e password (spesso provenienti da precedenti violazioni dei dati) per ottenere l’accesso ai sistemi.
Fase 2: Tecniche di elusione delle interferenze
Gli autori delle minacce ransomware solitamente adottano misure di interferenza prima di lanciare la loro applicazione ransomware dannosa.
- Eliminazione copia shadow: rimuove le copie di backup per impedire un facile recupero dei file. Ad esempio, utilizzando il comando PowerShell:
- Disattivazione degli strumenti di sicurezza: chiusura delle applicazioni di difesa come Windows Defender e arresto di determinati processi e servizi per evitare il rilevamento.
- Come il comando PowerShell:
- Manomissione degli strumenti EDR/XDR
- Inondare la rete con traffico rumoroso.
- Utilizzando strumenti come Process Hacker o GMER, è possibile apportare modifiche direttamente al registro per disattivare le protezioni di sicurezza.
- Modifica o elimina i registri di sicurezza. Ad esempio, utilizzando il comando PowerShell:
Queste tecniche consentono alle minacce ransomware di violare in modo efficiente le reti, elevare i privilegi e crittografare i dati, senza essere rilevate dai sistemi di sicurezza.
Fase 3: Processo di esfiltrazione
Abbiamo assistito a un cambiamento nelle strategie degli hacker: ora gli autori delle minacce estraggono i dati prima di crittografarli.
- I gruppi di hacker utilizzano strumenti di terze parti (come 7-Zip e WinRAR) per esfiltrare dati, sfruttando tattiche di doppia estorsione, minacciando di divulgare i dati rubati se il riscatto non viene pagato.
Fase 4: Processo di crittografia
Una volta scaricato, il malware solitamente è progettato per iniziare immediatamente la sua campagna di crittografia dei file e dei sistemi.
- Crittografia dei file: il ransomware crittografa un’ampia gamma di file, tra cui dischi di macchine virtuali (VMDK), condivisioni di rete e sistemi cloud connessi.
Fase 5: Richiesta di riscatto ed estorsione
Alle vittime viene presentata una richiesta di riscatto che richiede pagamenti in criptovaluta tramite un sito TOR designato. Dove vengono anche trattenuti per estorsione se le richieste non vengono soddisfatte.
L'impatto del ransomware
Un attacco ransomware può causare tempi di inattività prolungati, con le operazioni aziendali interrotte fino al ripristino dei sistemi. Può verificarsi una perdita permanente di dati, soprattutto se l’organizzazione non dispone di backup sicuri. Il costo del ripristino include non solo la richiesta di riscatto, ma anche le spese di ripristino del sistema, potenziali sanzioni legali e danni alla reputazione.
Rilevare il ransomware è fondamentale per minimizzarne l’impatto. I principali segnali di infezione includono un picco evidente nell’utilizzo della CPU e file rinominati con estensioni. Con LockBit nei recenti articoli di notizie, le estensioni ransomware collegate a quel malware possono essere viste di seguito:
- .lockbit (versioni iniziali)
- .abcd (osservato nelle prime varianti)
- .lockbit2 (LockBit 2.0)
- .lockbit3 (LockBit 3.0, noto anche come “LockBit Black”)
- .lockbit_black (Variante di LockBit 3.0)
- .HLJkNskOq (o estensioni casuali di 9 caratteri) (Visto nelle versioni successive in cui le estensioni sono randomizzate)
Come previsto, la minaccia LockBit 4 si è materializzata lunedì 3 febbraio 2025 e utilizza l’ estensione file .lockbit4 . Ciò è in linea con le precedenti iterazioni di LockBit, che hanno costantemente seguito una convenzione di denominazione basata sulla versione per i loro file crittografati.
In questi casi, le organizzazioni dovrebbero continuare a sfruttare strumenti di analisi comportamentale che monitorano i modelli di attività sospette. Inoltre, le regole YARA possono essere impiegate per identificare il codice univoco del Ransomware, fornendo un ulteriore livello di difesa nell’individuazione e nell’arresto di questa minaccia prima che si diffonda.
Strategie di mitigazione e difesa
Di seguito sono riportati alcuni esempi di azioni che la vostra organizzazione può intraprendere per restare al passo con gli attacchi:
Fase 1: Prevenzione
- Gestione delle patch: aggiornare regolarmente tutti i sistemi per risolvere le vulnerabilità di sicurezza.
- Sicurezza della posta elettronica: utilizzare filtri e-mail efficaci e formare i dipendenti a riconoscere gli attacchi di phishing.
- Segmentazione della rete: isola i sistemi critici per impedire la diffusione del ransomware.
- Sicurezza SMB: implementare la convalida della firma SMB e disabilitare SMB V1 nell’intero ambiente per ridurre al minimo lo sfruttamento.
- Utilizzare SMB V3 con crittografia per proteggere le condivisioni di file di rete.
- Limitare l’accesso SMB solo agli utenti e ai sistemi necessari.
- Controllo degli accessi: applica i diritti “need-to-know” all’interno dell’ambiente per limitare l’accesso, ad esempio gli utenti con accesso a dati segreti non possono accedere a informazioni top secret. Inoltre, limita i diritti di amministratore sugli account utente.
- Audit IAM: eseguire regolarmente audit di gestione delle identità e degli accessi (IAM) per garantire policy di controllo degli accessi adeguate.
- Controlli di accesso alla rete: implementare VLAN e firewall di nuova generazione con Unified Threat Management (UTM), in grado di effettuare un’ispezione approfondita dei pacchetti per identificare le minacce che entrano nella rete.
- Sicurezza macro: disattiva le macro nei prodotti Microsoft Office per ridurre il rischio di allegati dannosi nelle e-mail di phishing.
Passaggio 2: Backup e ripristino
- Strategia di backup: seguire la regola di backup 3-2-1 (3 copie di dati, 2 supporti diversi, 1 archiviato fuori sede) per garantire la disponibilità dei dati.
- Backup immutabili : archivia i backup in ambienti che non possono essere modificati.
Fase 3: Rilevamento e risposta
- Sistemi di rilevamento delle intrusioni (IDS): utilizza gli strumenti IDS per monitorare e rilevare le attività ransomware in tempo reale.
- Piano di risposta agli incidenti: disporre di un piano predefinito per isolare i sistemi infetti e ripristinare i servizi.
Recupero dal ransomware
Implementando misure di sicurezza informatica proattive, le organizzazioni possono ridurre significativamente l’impatto degli attacchi ransomware. Backup regolari dei dati, formazione dei dipendenti e protocolli di sicurezza robusti sono essenziali per prevenire e mitigare le minacce ransomware.
Le soluzioni avanzate di sicurezza informatica svolgono un ruolo cruciale nel rilevare, contenere ed eliminare il ransomware prima che possa causare danni estesi. Una strategia di difesa solida e multistrato è fondamentale per mantenere la resilienza operativa e salvaguardare i dati critici dalle minacce informatiche in evoluzione.
Proteggi la tua organizzazione con le capacità di Adlumin Ransomware e Exfiltration Prevention per rimanere al passo con i tempi.
Cerca contenuti interessanti per Linkedin sul nostro programma di canale dedicato a N-able
COMPILA IL FORM PER RICEVERE INFORMAZIONI SU N-ABLE