Come rilevare i ransomware: comprensione dei segni di infezione

Tutorial

Con il ransomware che diventa sempre più sofisticato, le organizzazioni sono sotto la costante minaccia di perdita di dati e violazioni. Secondo Statista, un numero crescente di organizzazioni ha subito attacchi ransomware ogni anno dal 2018 e il picco è stato raggiunto nel 2021 al 68,5% delle imprese. Inoltre, il numero di famiglie di ransomware rilevate nel 2020 è stato del 34% superiore rispetto al 2019 (rispetto alle 127 famiglie nel 2020).

In questo post del blog, definiamo il ransomware e facciamo luce sui principali canali di infezione e sulle tecniche di rilevamento del ransomware. Inoltre, esaminiamo le soluzioni per identificare il ransomware, prevenire ulteriori infezioni e aumentare la resilienza dei tuoi dati contro il ransomware.

Cos’è il Ransomware?

Il ransomware è un software dannoso utilizzato per penetrare negli ambienti IT personali/corporativi e criptare o bloccare i dati. L’obiettivo degli attacchi ransomware è estorcere un riscatto dalle vittime in cambio del ripristino dell’accesso ai dati criptati/bloccati.

Come si Infettano i Sistemi con il Ransomware: 5 Vettori di Infezione

Per prevenire l’infezione dei sistemi IT della tua organizzazione da parte del ransomware, devi essere consapevole dei modi più comuni in cui si diffonde il malware. In questo modo, puoi scoprire quali componenti del sistema sono più esposti e vulnerabili agli attacchi ransomware e come rilevare prontamente l’attività del ransomware nella tua infrastruttura.

I modi in cui la tua organizzazione può diventare vittima di ransomware sono innumerevoli. Tuttavia, ecco i vettori di infezione da malware più diffusi:

  • Messaggi di posta elettronica sospetti che spingono il destinatario a fare clic su un link o scaricare un allegato contenente malware.
  • Siti web maligni creati per ingannare le persone nel navigare sulle loro pagine e, alla fine, diventare infettati da ransomware facendo clic su collegamenti iper-testuali maligni.
  • I social media sono spesso considerati piattaforme affidabili e legittime, facendo così sì che le persone li fidino immediatamente. Generalmente, il malware si diffonde attraverso applicazioni maligne, pubblicità, plug-in e collegamenti su piattaforme di social media. Queste app, annunci, collegamenti e allegati del browser convincono poi gli utenti a scaricare contenuti maligni, come ransomware o agenti di crypto mining.
  • Malvertising è una forma di pubblicità online contenente codice maligno. Fai clic sul collegamento su un sito web apparentemente legittimo e il tuo computer può essere infettato automaticamente da malware.
  • Ransomware mobile eseguito attraverso app mobili iniettate con codice maligno. Scaricando tali app, è possibile permettere al malware di infettare il proprio telefono cellulare in pochi secondi e quindi diffondere l’infezione al computer la prossima volta che si collegano i due dispositivi.

Tecniche di rilevamento del ransomware

Per rilevare il ransomware che tenta di intrudersi o che sta già disturbando il tuo ambiente IT, puoi utilizzare un insieme di strumenti e tecniche che aiutano a rivelare file maligni e attività sospette. Gli specialisti IT distinguono i seguenti tipi di tecniche di rilevamento:

  • Firma
  • Basata sul comportamento
  • Inganno

Di seguito esamineremo in dettaglio ciascuna tecnica di rilevamento del ransomware.

Rilevamento basato su firma

Basato su firma I metodi confrontano un hash del campione di un ceppo di ransomware con le firme trovate in precedenza. Questa è una tecnica comune di primo passo per le soluzioni antivirus e le piattaforme di sicurezza. Questi controllano i frammenti di dati confezionati in un file eseguibile prima di lanciare quel file. La tecnica consiste nel rilevare precocemente frammenti di codice simili a ransomware e bloccare l’esecuzione del codice infetto.

Il metodo viene utilizzato per costruire la difesa di base di un’organizzazione. Tuttavia, anche se rilevano efficacemente ceppi di ransomware conosciuti, i metodi basati su firma possono fallire con nuovi malware. Inoltre, gli hacker investono molto sforzo per aggiornare i loro malware e gli strumenti di neutralizzazione della sicurezza, rendendo la rilevazione delle firme più impegnativa.

Attualmente ci sono diversi fornitori di software per la rilevazione di malware che competono nel mercato. Ognuno di essi fornisce un set di strumenti di rilevamento del ransomware che possono essere efficaci fino a un certo punto. Tuttavia, secondo il rapporto di Sophos, oltre il 50% degli attacchi ransomware nel 2021 hanno avuto successo, il che significa che nessun sistema di rilevamento del malware può rivelare il ransomware con una garanzia del 100%.

Rilevamento basato sul comportamento

I metodi di rilevamento del ransomware basati sul comportamento confrontano i comportamenti storicamente noti con quelli nuovi. Specialisti e strumenti automatici monitorano le attività di utenti e applicazioni all’interno dell’ambiente per individuare cambiamenti insoliti nei file system, traffico anomalo, processi sconosciuti e chiamate API, tra gli altri segnali.

Controlla e ricorda i comuni segnali comportamentali di tentativi di attacco ransomware o infezioni di sistema riuscite:

  • Email di spam e phishing: il phishing è l’approccio più comune utilizzato dagli hacker per distribuire ransomware.
  • Riduzione delle prestazioni: se i nodi dell’infrastruttura IT funzionano più lentamente del previsto, è importante reagire a una potenziale intrusione di ransomware.
  • Attività di accesso sospette continue: quando i tentativi di accesso falliti si verificano regolarmente e su vari account da posizioni e dispositivi insoliti, è molto probabile che qualcuno stia cercando di ottenere l’accesso non autorizzato ai sistemi IT della tua organizzazione.
  • Rilevati scanner di rete non autorizzati: quando non si conosce chi ha avviato la procedura di scansione della rete e lo scopo della stessa, è necessario indagare in quanto potrebbe trattarsi di un’attività dannosa.
  • Potenziali attacchi di prova: gli hacker possono avviare alcuni attacchi leggeri su alcuni nodi per testare la resilienza e il tempo di reazione del sistema di protezione della tua organizzazione prima di lanciare un attacco su larga scala.
  • Disabilitazione o rimozione del software di sicurezza: Nessuna delle interruzioni del sistema di protezione deve essere ignorata perché anche un malfunzionamento a breve termine significa una breccia aperta per un’infezione da ransomware.
  • Crittografia dei dati su alcuni nodi: La crittografia dei dati riuscita su qualsiasi nodo nel tuo sistema indica una violazione della tua protezione IT che gli hacker possono utilizzare in un attacco più grave.
  • Strumenti di hacking conosciuti rilevati: Nel caso in cui noti applicazioni come Microsoft Process Explorer, MimiKatz, IOBit Uninstaller e PC Hunter nell’ambiente della tua organizzazione, dovresti eseguire una revisione completa della sicurezza di ogni nodo.
  • Attività insolita intorno all’Active Directory: C’è un caso noto di hacker che utilizzano il Protocollo Desktop Remoto (RDP) per raggiungere i server AD protetti delle strutture petrolifere e del gas e iniettare direttamente il ransomware Ryuk nello script di accesso AD.
  • Tentativi di corruzione del backup: Le piattaforme di archiviazione di backup sono tra i bersagli prioritari per i cyberattacchi. Qualsiasi attività sospetta intorno all’archiviazione di backup, che sia su dischi fisici o nel cloud, può essere un segno di un potenziale o in corso attacco ransomware.

Rilevamento basato sulla decezione

Proprio come gli hacker cercano regolarmente di ingannare i sistemi di rilevamento delle minacce digitali di un’organizzazione, gli specialisti della sicurezza informatica hanno ideato un modo per attirare i cattivi attori. Uno dei lacci più comuni è noto come honeypot: un server o un’area nell’ambiente IT di un’organizzazione contenente dati che sembrano essere di valore per gli hacker. Tuttavia, questo ambiente è completamente isolato dal sito e può essere utilizzato per monitorare e analizzare le tattiche di attacco.Le minacce in evoluzione inducono le aziende a utilizzare ogni opzione di sicurezza disponibile per prevenire violazioni e perdite di dati, pertanto combinare metodi di rilevamento dei ransomware è una pratica comune. Inoltre, una buona strategia per individuare e combattere proattivamente gli attacchi ransomware è comprendere le tattiche degli aggressori e prevenire l’infiltrazione. Di seguito sono riportate alcune raccomandazioni per identificare e prevenire gli attacchi.

Come Identificare e Prevenire un Attacco

Raccomandiamo di adottare le seguenti pratiche per prevenire gli attacchi ransomware. Abbiamo inoltre aggiunto consigli per ridurre i rischi di perdita di dati nel caso in cui il ransomware si infiltrasse nell’ambiente dell’organizzazione.

  • Incitare i dipendenti a:
    • Imparare i segni più comuni di ransomware e altri malware
    • Utilizzare password robuste e aggiornarle regolarmente
    • Esaminare i collegamenti e gli allegati prima di fare clic su di essi
    • Capire come funziona il phishing e verificare gli indirizzi email dei messaggi in arrivo
  • Aggiornare regolarmente il sistema

Dovresti mantenere il tuo sistema operativo e le applicazioni critiche aggiornate e patchate. Installare gli aggiornamenti non appena vengono rilasciati. Gli aggiornamenti del sistema e le patch di sicurezza sono generalmente destinati a risolvere i problemi delle versioni precedenti e a coprire le vulnerabilità note del tuo sistema.

  • Verificare il software di terze parti

Prima di installare software di terze parti, verifica innanzitutto che il fornitore di software sia autentico e affidabile. A tal fine, installa software di elenco bianco (ad esempio, Bit9, Velox, McAfee, Lumension), che può identificare se un nuovo applicativo è abbastanza sicuro da essere installato e eseguito nel tuo sistema.

  • Scansionare regolarmente la tua infrastruttura

Installare e utilizzare software anti-malware che ti informerà di eventuali potenziali minacce, identificherà le vulnerabilità potenziali e rileverà le attività di ransomware nella tua infrastruttura. I moderni strumenti anti-ransomware ti consentono di scansionare l’intero sistema per virus esistenti e minacce di malware attive. Inoltre, tali scansioni del computer possono essere eseguite su richiesta o in base a una pianificazione che imposti, minimizzando così l’input di gestione da parte tua.

  • Creare honeypots

A honeypot is one of the most effective security measures that can be used to confuse cybercriminals and take their attention away from critical files. By setting up a honeypot, you create a fake file repository or a server that looks like a legitimate target to an outsider and appears especially enticing to ransomware attackers. This way, you can not only protect your files and rapidly detect a ransomware attack, but also learn how cybercriminals operate. Then, use that data and experience to improve the protection of your system against future cyberattacks.

  • Limitare l’accesso ai sistemi e alle applicazioni critiche

Applica il principio del privilegio minimo quando concedi ai dipendenti le autorizzazioni ai sistemi. Il principio prevede di dare a un dipendente l’accesso solo ai file e alle risorse di sistema necessari per svolgere efficientemente il proprio lavoro. Qualsiasi azione o accesso che non sia necessario per un dipendente per svolgere i propri compiti dovrebbe essere vietato dall’amministratore per evitare infezioni accidentali.

  • Protezione dei dati e test dei backup

Crea e aggiorna regolarmente backup dei dati. Utilizza la regola 3-2-1 per migliorare la protezione e garantire il successo del ripristino dei dati crittografati da ransomware. La regola prevede di avere 3 copie dei tuoi dati e di conservarle su 2 diversi supporti, di cui 1 conservato in un luogo esterno. Dopo aver eseguito il backup dei dati, esegui test per verificare che i tuoi backup siano funzionali e recuperabili. In questo modo, puoi evitare guasti che altrimenti potrebbero verificarsi durante il ripristino del sistema.

Come NAKIVO può aiutare a proteggere i tuoi dati dal ransomware

Oggi, un attacco ransomware che rende i dati di un’organizzazione non disponibili non è solo un’altra probabilità ma una questione di tempo. E il modo più efficiente per prevenire incidenti di perdita di dati e evitare tempi di inattività nella produzione dopo interruzioni causate da attacchi ransomware riusciti è avere backup validi pronti per il ripristino.

Circa il 93% delle aziende che non implementano piani di backup e di ripristino di emergenza falliscono entro un anno dopo un disastro globale di perdita di dati. D’altra parte, il 96% delle aziende che dispongono di una strategia affidabile di backup e ripristino sono riuscite a riprendersi con successo dagli attacchi di ransomware.

NAKIVO Backup & Replication è una soluzione di protezione dati che puoi utilizzare per implementare una strategia affidabile di protezione contro i ransomware e aumentare la resilienza dell’organizzazione agli attacchi:

  1. Crea backup affidabili e consistenti con le applicazioni dei tuoi dati.
  2. Archivia i backup in loco, inviali fuori sede o nel cloud per seguire la regola 3-2-1 e evitare un punto di errore singolo.
  3. Abilita l’immutabilità per i backup archiviati nei repository locali basati su Linux e/o nel cloud per garantire che i tuoi dati di backup rimangano invariati e disponibili anche se i ransomware colpiscono l’infrastruttura di backup.
  4. Abilita la crittografia dei tuoi dati di backup in transito e a riposo. La soluzione utilizza lo standard di crittografia AES-256 per impedire l’accesso di terze parti ai tuoi dati di backup.
  5. Utilizza il controllo degli accessi basato sui ruoli (RBAC) per impostare i diritti di accesso per i dipendenti e migliorare la sicurezza dei backup.Quando un attacco di ransomware colpisce e crittografa i dati originali, utilizza i backup per il ripristino. Puoi ripristinare VM complete e macchine fisiche come VM immediatamente. Utilizza il Ripristino Granulare Istantaneo per ripristinare singoli file e oggetti delle applicazioni nelle posizioni originali o personalizzate per ridurre ancora di più il downtime.
  6. Quando si verifica un attacco di ransomware che cripta i dati originali, utilizzare le copie di backup per il recupero. È possibile recuperare VM complete e macchine fisiche come VM immediatamente. Utilizzare Recupero Granulare istantaneo per ripristinare file e oggetti di applicazioni individuali in posizioni originali o personalizzate per tempi di inattività ancora più brevi.
  7. Utilizzare la replica, il failover automatizzato e l’orchestrazione della disaster recovery per una rapida disponibilità di sistemi e app.

La soluzione NAKIVO consente di controllare e automatizzare i processi di backup e recupero da un’unica interfaccia. Eseguire i backup ogni minuto per minimizzare la perdita di dati. Con backup immutabili pertinenti a disposizione, è possibile evitare di pagare il riscatto agli hacker anche dopo che il ransomware ha aggirato i sistemi di sicurezza e ha criptato con successo i dati originali.

Source:
https://www.nakivo.com/blog/methods-tools-ransomware-detection/