Ospedali, grandi aziende e uffici governativi sono stati colpiti da una massiccia ondata di attacchi informatici in tutto il mondo che hanno preso il controllo dei PC fino a quando le vittime non hanno pagato un riscatto. Ci sono segnalazioni di infezioni in 99 paesi, tra cui Russia e Cina. Forcepoint Security Labs™ ha detto che l'attacco ha avuto "portata globale" ed ha interessato anche Australia, Belgio, Francia, Germania, Italia e Messico. Il ransomware, chiamato "WannaCry," blocca tutti i file su un PC infetto e chiede al suo amministratore di pagare al fine di riprenderne il controllo. L'exploit è trapelato lo scorso mese come parte di un tool di strumenti di spionaggio rubati alla National Security Agency (NSA).
Un gruppo di hacker, chiamato "The Shadow Brokers", ha affermato di avere a disposizione migliaia di strumenti utilizzati dalla NSA per le proprie azioni di hacking. Tra i più colpiti il Servizio Sanitario Nazionale inglese (National Health Service - NHS) in Inghilterra e Scozia. L'NHS in Inghilterra ha confermato di essere a conoscenza di un attacco ai suoi sistemi informatici, ma non ha rilasciato ulteriori dettagli. Gli attacchi hanno usato una tecnica nota come "ransomware" che cripta i file degli utenti a meno che non si pagano agli aggressori una somma indicata nella moneta virtuale Bitcoin. Immagini postate sui social media hanno mostrato schermi dei computer NHS con le schermate che richiedono il pagamento di 300 dollari in Bitcoin, dicendo: "Ops, i tuoi file sono stati crittografati".
Il pagamento deve avvenire in tre giorni o il prezzo è raddoppiato, e se non viene ricevuto in sette giorni, i file saranno cancellati, secondo il messaggio sullo schermo. Europol ha detto che il "cyberattacco è stato di un livello senza precedenti e richiede una complessa inchiesta internazionale per identificare i colpevoli". Il ransomware si diffonde sfruttando una vulnerabilità di Windows patchata da Microsoft nel mese marzo. Ma computer e reti che non hanno aggiornato i loro sistemi sono ancora a rischio. Dato il potenziale impatto sui clienti e le loro attività, il gigante di Redmond ha detto di aver intrapreso il "passo molto insolito" di rilasciare una patch le piattaforme operative meno recenti, tra cui Windows XP, Windows 7, Windows 8 e Windows Server 2003.
Carl Leonard, Principal Security Analyst dei Forcepoint Security Labs™, ha pubblicato un interessante articolo a proposito dei ransomware. Un tempo considerata come una tecnica di attacco principalmente rivolta al grande pubblico, gli attacchi ransomware si stanno oggi aggressivamente rivolgendo contro le agenzie governative e le aziende private. «Con tale ondata di attività, l'FBI si aspetta perdite dovute ad estorsioni tramite ransomware per un totale di 1 miliardo di dollari solo quest'anno. Come evidenziato dall'autore di un recente white paper, intitolato "Siete pronti per ransomware?", sono io stesso concentrato su questo argomento e mi piacerebbe cogliere lìoccasione per fornire una sintesi di ciò che il ransomware è e che cosa possiamo fare contro esso».
In primo luogo, dobbiamo definire il termine: in poche parole, ransomware è un tipo di malware che blocca l'accesso a dati e/o dispositivi e chiede il pagamento per "un servizio" che ne ripristini l'accesso. Fino a quando il riscatto non è pagato, i dati e/o dispositivi rimarranno bloccati. Data la posta in gioco, ci sono altri due fattori sui ransomware che le agenzie governative e le imprese private devono sapere - soprattutto quando si tratta di prevenire/evitare le minacce. Il ransomware esiste in tre forme principali. • Scareware. Si tratta di una richiesta di pagamento in base alla minaccia di un’azione futura. Per il momento, i file e il sistema della vittima non sono insidiati. • Lockers. In questo caso, lo schermo/sistema dell'utente interessato è bloccato e l'attaccante minaccia che rimarrà così fino al pagamento del riscatto.
• Crypto-ransomware. Una volta crittografati i file della vittima, il truffatore informatico offre una chiave di decodifica, ovviamente per un controvalore. Crypto-ransomware può avere un impatto su file locali e su quelli ospitati su condivisioni di rete. I file crittografati che non possono essere recuperati finiscono per essere distrutti - il che potrebbe avere effetti devastanti. Per rispondere in modo efficace ad un attacco, è fondamentale riconoscere queste forme. Una volta identificata la tipologia, la discussione verterà sulla decisione più difficile: dobbiamo pagare o no? Purtroppo, non ci sono risposte giuste o sbagliate. Per rendere la decisione ancora più combattuta, gli attaccanti spesso mantengono le richieste relativamente convenienti e facili da pagare. Preferiscono raccogliere i soldi velocemente e passare al prossimo obiettivo.
Gli esperti di sicurezza di Forcepoint™ possono fornire le seguenti linee guida: effettuare il pagamento è sempre un'opzione, ma non garantisce che i file crittografati o l'utilizzo dei dispositivi/computer siano restituiti con successo. E' anche possibile che l'attaccante torni nuovamente con ulteriori minacce o richieste. Prima di accettare i termini, chi decide deve valutare la disponibilità dei server di comando e controllo su cui è ospitata la chiave di decrittazione (si otterrà quello che si paga?); l'assenza o la presenza di errori nella routine di decriptazione (potrebbe essere possibile decifrare senza la chiave "ufficiale") e quanto "affidabili" i cyber criminali sembrino rispetto alla realtà dei fatti (ci sono dei colleghi di altre aziende che hanno avuto successo nel recupero dei loro dati e dell’'ccesso ai dispositivi?).
I ransomware prosperano su e-mail, attività Internet e social engineering. Il ransomware è più di un semplice pezzo di malware. Gli attacchi iniziano spesso con una e-mail di phishing e attraverso una infezione "drive-by" su una pagina web sospetta. I primi segni di codici maligni sono spesso programmi infettati che invitano le vittime a scaricarli ed eseguirli o consegnati tramite allegati di posta elettronica (in particolare quelli creati in ambiente Microsoft Office). Vengono applicate tattiche di social engineering in continua evoluzione e spesso mirate, per indurre gli utenti ad effettuare il download o a cliccare su contenuti dannosi. Fatto questo, il ransomware inizia subito ad enumerare tutte le unità del sistema compromesso per cercare i tipi di file di destinazione, e poi procede col crittografare rapidamente questi file.
Con i corretti strumenti di monitoraggio e di reporting è possibile rilevare e difendere la rete da tali attacchi prima che abbiano la possibilità di interrompere le operazioni e di richiedere un riscatto. Un programma di formazione continua degli utenti sarebbe di sicuro aiuto: informare i dipendenti sui pericoli del ransomware, fornire informazioni sul phishing ed incoraggiarli a segnalare e-mail o incidenti sospetti attraverso un programma facile da usare potrebbe evitare l'incidente di sicurezza. La forza lavoro di oggi è sempre meno sprovveduta da un punto di vista cyber, e può essere istruita ad identificare potenziali schemi di social engineering, controllare collegamenti ipertestuali sospetti e comprendere i rischi di aprire allegati inattesi o sconosciuti presenti nei messaggi email.
Mentre i ransomware sembrano dominare la conversazione in corso sulla sicurezza informatica, in realtà non stiamo considerando nulla di nuovo. Le componenti principali sono basate sugli stessi principi di "penetrare e fare cose cattive" che hanno spinto gli hacker per decenni. Quindi le difese a copertura del ciclo di vita completo delle minacce (aka Kill Chain) sono particolarmente utili per la difesa contro i ransomware, rilevamento esche (e-mail di phishing e siti web infetti), individuazione delle tattiche di evasione, riconoscimento degli exploit e blocco dei malware. L'analisi del comportamento degli utenti è un'arma potente anche nelle fasi successive dell'attacco, per la capacità di identificare le attività anomale di movimentazione dei file e di allertare l’IT così da risolvere l'attività in modo proattivo.
Un'assegnazione più granulare dei diritti di accesso agli utenti può limitare l'accesso del ransomware ad una superficie di attacco più piccola all'interno della rete, riducendo al minimo il suo impatto. Un programma di backup affidabile è in grado di ridurre drasticamente il tempo di impatto e di recupero complessivo. Ci sono anche opzioni di backup economiche per chi lavora in movimento o in remoto. Di conseguenza, andrete a posizionare la vostra organizzazione come altamente sorvegliata contro le minacce ransomware. I truffatori non sono noti per la loro pazienza, dopo tutto, ed il classico mantra "il tempo è denaro" di solito ben si adatta a loro. Se si rende abbastanza difficile per loro fare un rapido affare, probabilmente cambieranno bersaglio.
Con i corretti strumenti di difesa dai malware, le procedure e gli sforzi di sensibilizzazione in atto, non sarà difficile ottenere questo risultato. Il malware utilizzato in questa epidemia - chiamato variamente WannaCry, WCry e WannaCrypt0r 2.0 - fa parte in ultima analisi, di una diversa famiglia di ransomware: un worm. Gli worm hanno la capacità di auto-propagarsi una volta che sono all'interno di un'organizzazione, e diffondersi da macchina a macchina utilizzando le vulnerabilità senza patch del sistema operativo Windows. In questo caso il malware, che ha utilizzato l'exploit chiamato EternalBlue, è stato veicolato attraverso una campagna di e-mail spam collegata a un sito web compromesso. Per ulteriori indicazioni generali sui ransomware, è possibile visitare il sito https://www.forcepoint.com/ransomware.
Il pagamento deve avvenire in tre giorni o il prezzo è raddoppiato, e se non viene ricevuto in sette giorni, i file saranno cancellati, secondo il messaggio sullo schermo. Europol ha detto che il "cyberattacco è stato di un livello senza precedenti e richiede una complessa inchiesta internazionale per identificare i colpevoli". Il ransomware si diffonde sfruttando una vulnerabilità di Windows patchata da Microsoft nel mese marzo. Ma computer e reti che non hanno aggiornato i loro sistemi sono ancora a rischio. Dato il potenziale impatto sui clienti e le loro attività, il gigante di Redmond ha detto di aver intrapreso il "passo molto insolito" di rilasciare una patch le piattaforme operative meno recenti, tra cui Windows XP, Windows 7, Windows 8 e Windows Server 2003.
Carl Leonard, Principal Security Analyst dei Forcepoint Security Labs™, ha pubblicato un interessante articolo a proposito dei ransomware. Un tempo considerata come una tecnica di attacco principalmente rivolta al grande pubblico, gli attacchi ransomware si stanno oggi aggressivamente rivolgendo contro le agenzie governative e le aziende private. «Con tale ondata di attività, l'FBI si aspetta perdite dovute ad estorsioni tramite ransomware per un totale di 1 miliardo di dollari solo quest'anno. Come evidenziato dall'autore di un recente white paper, intitolato "Siete pronti per ransomware?", sono io stesso concentrato su questo argomento e mi piacerebbe cogliere lìoccasione per fornire una sintesi di ciò che il ransomware è e che cosa possiamo fare contro esso».
In primo luogo, dobbiamo definire il termine: in poche parole, ransomware è un tipo di malware che blocca l'accesso a dati e/o dispositivi e chiede il pagamento per "un servizio" che ne ripristini l'accesso. Fino a quando il riscatto non è pagato, i dati e/o dispositivi rimarranno bloccati. Data la posta in gioco, ci sono altri due fattori sui ransomware che le agenzie governative e le imprese private devono sapere - soprattutto quando si tratta di prevenire/evitare le minacce. Il ransomware esiste in tre forme principali. • Scareware. Si tratta di una richiesta di pagamento in base alla minaccia di un’azione futura. Per il momento, i file e il sistema della vittima non sono insidiati. • Lockers. In questo caso, lo schermo/sistema dell'utente interessato è bloccato e l'attaccante minaccia che rimarrà così fino al pagamento del riscatto.
• Crypto-ransomware. Una volta crittografati i file della vittima, il truffatore informatico offre una chiave di decodifica, ovviamente per un controvalore. Crypto-ransomware può avere un impatto su file locali e su quelli ospitati su condivisioni di rete. I file crittografati che non possono essere recuperati finiscono per essere distrutti - il che potrebbe avere effetti devastanti. Per rispondere in modo efficace ad un attacco, è fondamentale riconoscere queste forme. Una volta identificata la tipologia, la discussione verterà sulla decisione più difficile: dobbiamo pagare o no? Purtroppo, non ci sono risposte giuste o sbagliate. Per rendere la decisione ancora più combattuta, gli attaccanti spesso mantengono le richieste relativamente convenienti e facili da pagare. Preferiscono raccogliere i soldi velocemente e passare al prossimo obiettivo.
Gli esperti di sicurezza di Forcepoint™ possono fornire le seguenti linee guida: effettuare il pagamento è sempre un'opzione, ma non garantisce che i file crittografati o l'utilizzo dei dispositivi/computer siano restituiti con successo. E' anche possibile che l'attaccante torni nuovamente con ulteriori minacce o richieste. Prima di accettare i termini, chi decide deve valutare la disponibilità dei server di comando e controllo su cui è ospitata la chiave di decrittazione (si otterrà quello che si paga?); l'assenza o la presenza di errori nella routine di decriptazione (potrebbe essere possibile decifrare senza la chiave "ufficiale") e quanto "affidabili" i cyber criminali sembrino rispetto alla realtà dei fatti (ci sono dei colleghi di altre aziende che hanno avuto successo nel recupero dei loro dati e dell’'ccesso ai dispositivi?).
I ransomware prosperano su e-mail, attività Internet e social engineering. Il ransomware è più di un semplice pezzo di malware. Gli attacchi iniziano spesso con una e-mail di phishing e attraverso una infezione "drive-by" su una pagina web sospetta. I primi segni di codici maligni sono spesso programmi infettati che invitano le vittime a scaricarli ed eseguirli o consegnati tramite allegati di posta elettronica (in particolare quelli creati in ambiente Microsoft Office). Vengono applicate tattiche di social engineering in continua evoluzione e spesso mirate, per indurre gli utenti ad effettuare il download o a cliccare su contenuti dannosi. Fatto questo, il ransomware inizia subito ad enumerare tutte le unità del sistema compromesso per cercare i tipi di file di destinazione, e poi procede col crittografare rapidamente questi file.
Con i corretti strumenti di monitoraggio e di reporting è possibile rilevare e difendere la rete da tali attacchi prima che abbiano la possibilità di interrompere le operazioni e di richiedere un riscatto. Un programma di formazione continua degli utenti sarebbe di sicuro aiuto: informare i dipendenti sui pericoli del ransomware, fornire informazioni sul phishing ed incoraggiarli a segnalare e-mail o incidenti sospetti attraverso un programma facile da usare potrebbe evitare l'incidente di sicurezza. La forza lavoro di oggi è sempre meno sprovveduta da un punto di vista cyber, e può essere istruita ad identificare potenziali schemi di social engineering, controllare collegamenti ipertestuali sospetti e comprendere i rischi di aprire allegati inattesi o sconosciuti presenti nei messaggi email.
Mentre i ransomware sembrano dominare la conversazione in corso sulla sicurezza informatica, in realtà non stiamo considerando nulla di nuovo. Le componenti principali sono basate sugli stessi principi di "penetrare e fare cose cattive" che hanno spinto gli hacker per decenni. Quindi le difese a copertura del ciclo di vita completo delle minacce (aka Kill Chain) sono particolarmente utili per la difesa contro i ransomware, rilevamento esche (e-mail di phishing e siti web infetti), individuazione delle tattiche di evasione, riconoscimento degli exploit e blocco dei malware. L'analisi del comportamento degli utenti è un'arma potente anche nelle fasi successive dell'attacco, per la capacità di identificare le attività anomale di movimentazione dei file e di allertare l’IT così da risolvere l'attività in modo proattivo.
Un'assegnazione più granulare dei diritti di accesso agli utenti può limitare l'accesso del ransomware ad una superficie di attacco più piccola all'interno della rete, riducendo al minimo il suo impatto. Un programma di backup affidabile è in grado di ridurre drasticamente il tempo di impatto e di recupero complessivo. Ci sono anche opzioni di backup economiche per chi lavora in movimento o in remoto. Di conseguenza, andrete a posizionare la vostra organizzazione come altamente sorvegliata contro le minacce ransomware. I truffatori non sono noti per la loro pazienza, dopo tutto, ed il classico mantra "il tempo è denaro" di solito ben si adatta a loro. Se si rende abbastanza difficile per loro fare un rapido affare, probabilmente cambieranno bersaglio.
Con i corretti strumenti di difesa dai malware, le procedure e gli sforzi di sensibilizzazione in atto, non sarà difficile ottenere questo risultato. Il malware utilizzato in questa epidemia - chiamato variamente WannaCry, WCry e WannaCrypt0r 2.0 - fa parte in ultima analisi, di una diversa famiglia di ransomware: un worm. Gli worm hanno la capacità di auto-propagarsi una volta che sono all'interno di un'organizzazione, e diffondersi da macchina a macchina utilizzando le vulnerabilità senza patch del sistema operativo Windows. In questo caso il malware, che ha utilizzato l'exploit chiamato EternalBlue, è stato veicolato attraverso una campagna di e-mail spam collegata a un sito web compromesso. Per ulteriori indicazioni generali sui ransomware, è possibile visitare il sito https://www.forcepoint.com/ransomware.
Nessun commento:
Posta un commento