Il ransomware non colpisce tutto in una volta: inonda lentamente le tue difese in fasi. Come una nave sommersa dall’acqua, l’attacco inizia silenziosamente, sotto la superficie, con segnali di avvertimento sottili che sono facili da perdere. Quando inizia la crittografia, è troppo tardi per fermare l’inondazione. Ogni fase di un attacco ransomware offre una piccola finestra per rilevare e fermare la minaccia prima che sia troppo tardi. Il problema è che la maggior parte delle organizzazioni non monitora i segnali di avvertimento iniziali, permettendo agli attaccanti di disabilitare silenziosamente i backup, aumentare i privilegi e sfuggire al rilevamento fino a quando la crittografia blocca tutto. Quando appare la nota di riscatto, le tue opportunità sono svanite.
Le tre fasi di un attacco ransomware – e come rilevarlo
Gli attacchi ransomware non avvengono istantaneamente. Gli attaccanti seguono un approccio strutturato, pianificando ed eseguendo attentamente le loro campagne attraverso tre fasi distinte:
1. Pre-crittografia: preparare il terreno
Prima che inizi la crittografia, gli attaccanti prendono misure per massimizzare i danni e sfuggire al rilevamento. Essi:
- Eliminano copie shadow e backup per prevenire il recupero.
- Iniettano malware nei processi fidati per stabilire la persistenza.
- Creano mutex per garantire che il ransomware funzioni senza interruzioni.
Queste attività iniziali, note come indicatori di compromissione (IOC), sono segnali di avvertimento critici. Se rilevati in tempo, i team di sicurezza possono interrompere l’attacco prima che avvenga la crittografia.
2. Crittografia: bloccarti fuori
Una volta che gli attaccanti hanno il controllo, avviano il processo di crittografia. Alcune varianti di ransomware lavorano rapidamente, bloccando i sistemi in pochi minuti, mentre altre adottano un approccio più furtivo, rimanendo non rilevate fino al completamento della crittografia. Quando la crittografia viene scoperta, spesso è troppo tardi. Gli strumenti di sicurezza devono essere in grado di rilevare e rispondere all’attività del ransomware prima che i file vengano bloccati.
3. Post-crittografia: la richiesta di riscatto
Con i file crittografati, gli attaccanti consegnano il loro ultimatum, spesso attraverso note di riscatto lasciate sui desktop o incorporate nelle cartelle crittografate. Richiedono un pagamento, di solito in criptovaluta, e monitorano le risposte delle vittime tramite canali di comando e controllo (C2). In questa fase, le organizzazioni affrontano una decisione difficile: pagare il riscatto o tentare il recupero, spesso a un costo elevato.
Se non stai monitorando proattivamente gli IOC in tutte e tre le fasi, stai lasciando la tua organizzazione vulnerabile. Emulando un percorso di attacco ransomware, la convalida continua del ransomware aiuta i team di sicurezza a confermare che i loro sistemi di rilevamento e risposta stiano effettivamente rilevando gli indicatori prima che la crittografia possa prendere piede.
Indicatori di compromissione (IOC): cosa cercare
Se rilevi eliminazioni di copie shadow, iniezioni di processi o terminazioni di servizi di sicurezza, potresti già essere nella fase di pre-crittografia, ma rilevare questi IOC è un passo critico per proteggere la tua organizzazione.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!