Il 2021 è stato un anno particolarmente ricco di notizie e di innovazione da parte dei cyber criminali, soprattutto sul fronte ransomware che ha vissuto un anno particolarmente fertile per gli attaccanti. Uno degli attacchi più dirompenti, da questo punto di vista è stato quello di Kaseya, ancor peggiore di quello di Wannacry, definito giustamente il più grande attacco ransomware della storia, fino al prossimo ovviamente. Anche in Italia le notizie inerenti attacchi ransomware si sono guadagnate il proprio spazio nel telegiornale in prima serata con l’attacco a Regione Lazio, segno che si tratta di un fenomeno ormai capillare e pervasivo.
Molti sono nuovi e vecchi attaccanti che si alternano sulla scena. Recentemente il gruppo che opera il servizio RaaS (Ransomware as a Service) REvil è tornato operativo dopo una “meritata” pausa di ben due mesi. Forse il tempo necessario per godersi gli incassi e aggiornare la piattaforma o forse solo l’handover da un gruppo a un altro per la gestione della piattaforma RaaS. Il modello RaaS ha, di sicuro, riscosso molto successo. In tale modello infatti, gli attori operanti la piattaforma e quelli che compiono l’attacco vero e proprio, condividono il profitto dovuto al pagamento del riscatto in caso di attacco andato a buon fine.
Lo scenario poi è molto più ampio e articolato: ci sono attaccanti che si “limitano” a compromettere organizzazioni rivendendo poi gli accessi ai gruppi che effettivamente diffondono il payload ransomware, ci sono attaccanti che invece ricercano la collaborazione di un insider dietro, così come ci sono attaccanti che effettuano l’intera operazione in autonomia. Per coloro che sono interessati a un approfondimento tecnico sull’attacco vi consiglio di dare un occhiata a «REvil Ransomware Threat Research Update and Detections», un blog post del Splunk Threat Research Team. Negli ultimi due anni, l’84% delle organizzazioni ha subito un grave incidente di sicurezza. Secondo i risultati del rapporto sullo stato della sicurezza di Splunk, più del 30% di questi incidenti erano attacchi ransomware. Quindi, quali domande dovrebbero porsi le organizzazioni e quali misure dovrebbero intraprendere per prevenire o mitigare la prossima minaccia ransomware?
1. Possiamo difenderci da un attacco ransomware?
Forse. Ma almeno dovremmo provarci. Molto spesso si è portati a credere che un attacco ransomware avvenga nell’arco di pochissime ore: non c’è nulla di più sbagliato. Gli attaccanti prima di effettuare la cifratura dei dati hanno bisogno di ottenere accesso all’organizzazione (che abbiamo detto possono eventualmente acquistare), ottenere un livello di privilegi elevato, avere visibilità della rete, di fare una mappa dell’organizzazione, comprendere il ruolo dei diversi server all’interno dell’organizzazione, trovare i dati rilevanti, i server di backup, capire come il processo di backup funzioni all’interno dell’organizzazione, installare il payload di cifratura sui diversi server che si vogliono colpire e solo alla fine, una volta compreso a fondo l’ambiente in cui si è, effettuare la cifratura dei dati.
Queste attività richiedono settimane, spesso mesi, fino a un anno in alcuni scenari, ed è qui che abbiamo l’opportunità (il dovere direbbero alcuni colleghi) di capire che le cose non stanno andando come dovrebbero. È capitato che alcuni clienti abbiano rilevato e fermato l’attacco grazie al monitoraggio degli accessi anomali, piuttosto che attraverso il monitoraggio delle anomalie sull’endpoint o sul proprio domain controller, che poi gli ha permesso di intervenire prontamente, evitando impatti decisamente più importanti. In questo scenario anche gli attacchi alla supply chain giocano un ruolo importante, e nel corso del 2021 abbiamo visto diversi esempi: Codcov e Kaseya, solo per citare di due attacchi con maggiore impatto.
Il nostro report State of Security ha rilevato che il 78% delle aziende si aspetta un altro attacco alla supply chain in stile SolarWinds, ma solo il 23% delle organizzazioni ha rivalutato o modificato le proprie politiche in merito alla gestione del rischio dei fornitori.
2. Abbiamo un piano per rilevare e contenere un attacco ransomware?
Il passo successivo per affrontare la minaccia di un attacco ransomware è definire il piano non solo per rilevare e rispondere al ransomware, ma anche per confermare la resilienza contro gli attacchi ransomware che hanno fatto notizia o sono stati condivisi dai tuoi partner di intelligence. La creazione del tuo piano di risposta inizia con la comprensione della realtà della tua rete e delle tue risorse.
Per effettuare un piano di monitoraggio accurato possiamo utilizzare diversi strumenti, il framework MITRE ATT&CK risulta essere estremamente utile nella definizione di un piano di copertura di use case con conseguente riduzione del rischio: utilizziamolo per definire la nostra strategia e valutare il nostro livello di maturità. Stiamo monitorando tutto quello che ci serve o abbiamo dei punti ciechi? Abbiamo un processo più o meno automatizzato che verifichi se siamo stati coinvolti da una compromissione di una terze parti?
Il piano di risposta deve anche considerare quello che va oltre il contenimento tecnico. La risposta al ransomware interessa più processi, livelli di gestione e funzioni all’interno dell’organizzazione, come il ripristino delle operazioni, le comunicazioni interne ed esterne, le decisioni sul pagamento del riscatto, le società di servizi professionali specializzate e altro ancora. Infine, il piano deve essere testato attraverso esercizi tabletop interfunzionali che simulano un attacco ransomware prima che se ne verifichi uno reale. Per quanto riguarda il rilevamento di ransomware nella tua rete, rilevarlo quando i dati sono cifrati è troppo tardi.
Serve un piano di rilevamento che ci permetta di identificare le tecniche utilizzate dai gruppi ransomware PRIMA che i nostri dati vengano cifrati. Per farlo possiamo usare il framework ATT&CK, qui di seguito trovare un esercizio fatto per i principali gruppi ransomware osservati nel biennio 2019-2021: siamo in grado di rilevare le tecniche utilizzate da questi gruppi? Abbiamo le corrette sorgenti di dati?
3. Abbiamo accesso ai dati di cui abbiamo bisogno per comprendere l’impatto di un attacco ransomware?
Nel caso che un attacco ransomware vada a buon fine, diventa di vitale importanza comprenderne l’impatto. La risorsa chiave, anche in questo caso, è costituita dalla disponibilità dei dati corretti. Tutte le tracce di un attacco sono rintracciabili nei dati che collezioniamo col nostro SIEM, come ha giustamente evidenziato Doug Merritt, CEO di Splunk nel suo keynote all’ultima RSA Conference. Abbiamo la necessità di monitorare accuratamente la nostra infrastruttura al fine di poter comprendere come e fino a che punto un utente malintenzionato sia penetrato nella nostra infrastruttura e sfruttando quali debolezze.
Il processo di sicurezza utilizzato non deve infatti solo essere resiliente in caso di compromissione, ma deve permettere di poter apprendere da eventuali compromissioni, quali punti migliorare e quali gap colmare. Vista la compartecipazione sempre più frequente delle aziende parte della nostra supply chain è anche di vitale importanza comprendere se il servizio che eroghiamo ai nostri clienti sia stato intaccato durante l’esplorazione della nostra infrastruttura da parte dell’attaccante (movimento laterale) e comunicare prontamente ai nostri clienti fornendo eventuali IoC, perché loro stessi possano attivare eventuali servizi di threat hunting.
4. Qual i processi abbiamo posto in atto per assicurarci di evolvere costantemente il nostro approccio?
Gli attacchi ransomware hanno introdotto importanti cambiamenti nel corso del tempo, nel 2021 sono state osservate moltissime innovazioni ed è stato consolidato il passaggio al modello di business RaaS. Ma se lo scenario ha visto nuovi attaccanti e nuovi modelli di business, le tattiche, le tecniche e le procedure hanno un tasso di cambiamento decisamente più blando. Abbiamo un processo per monitorare costantemente l’evoluzione delle TTPs per i nuovi gruppi e delle relative detection necessarie per rilevarle?
Anche in questo caso l’adozione del framework MITRE ATT&CK ci viene incontro. Vale an che la pena notare che alcune compagnie assicurative sono sempre più riluttanti a pagare le richieste di ransomware e ci sono richieste più ampie del settore sia alle vittime che alle compagnie assicurative di non pagare i riscatti. Tutti questi cambiamenti muteranno inevitabilmente il modo in cui le organizzazioni rispondono alle minacce e agli attacchi ransomware.
5. Ci stiamo muovendo abbastanza velocemente?
Per rispondere in modo efficace al ransomware, le organizzazioni devono agire rapidamente per comprendere l’ambito della compromissione e contenere l’incidente. Il tuo tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR) sono fondamentali. Strumenti come Splunk SOAR consentono di agire più velocemente di quanto un umano possa fare doppio clic. Dall’isolamento delle reti al sinkholing di domini dannosi, è fondamentale disporre del giusto livello di automazione della sicurezza per contrastare efficacemente un attacco ransomware.
6. Prepararsi per l’inevitabile prossimo attacco
Gli attacchi ransomware non stanno scomparendo. Le organizzazioni devono porre domande difficili su quanto siano preparate a rilevare questo tipo di attacchi e a rispondere. Riconoscere la minaccia rappresentata dai ransomware e costruire un approccio data driven adottando framework di riferimento a livello internazionale è la migliore possibilità che abbiamo per affrontare questa minaccia in continua evoluzione.
Attacchi come Kaseya e Codecov e SolarWinds ci ricordano di assicurarci che le nostre organizzazioni siano preparate per un attacco. Il team di security researcher di Splunk monitora e valuta continuamente i rischi per la sicurezza che nuove e vecchi breach hanno.
Quando arriva la notizia di un attacco, agiamo immediatamente per confermare la sicurezza dei nostri sistemi e del nostro codice. Lo abbiamo fatto dopo gli attacchi di SolarWinds e di nuovo durante l’attacco di Kaseya. Lavoriamo anche per confermare costantemente che tutte le nostre patch e i protocolli di sicurezza siano aggiornati.
Sfortunatamente, i ransomware e gli attacchi alla catena di approvvigionamento sono qui per rimanere, motivo per cui tutti noi di Splunk rimaniamo vigili e impegnati a identificare modi in cui possiamo aiutare meglio i nostri clienti, partner e organizzazioni del settore a prepararsi per loro.
Autore: Antonio Forzieri
