Come può difendersi dal ransomware

Sappiamo tutti che il ransomware è una delle varianti di malware più distruttive in circolazione. Stai parlando di fare clic sul link sbagliato e di far scomparire i dati della tua organizzazione in una palude di cianfrusaglie criptate, o persino i suoi sistemi operativi (OS) server e altri file critici che stanno semplicemente scomparendo un giorno. Puoi pagare il riscatto, ma può non solo essere costoso, ma non garantisce che i cattivi ti restituiranno i tuoi dati.

Quando sei colpito, le tue scelte sono desolate: o speri che tu possa ripristinare i tuoi sistemi operativi usando backup basati su cloud o pagare il riscatto e spero che la chiave di decrittazione funzioni. Ma questo è solo se sei colpito. La scelta migliore è quella di non crittografare i tuoi file in primo luogo o, se alcuni file vengono colpiti, evitando che l'attacco si diffonda. La chiave è migliorare il gioco di sicurezza della tua azienda per evitare di essere attaccato.

Come evitare un attacco ransomware

Il primo passo è quello che Israel Barak, Chief Information Security Officer (CISO) dello sviluppatore di software di rilevamento e risposta degli endpoint Cybereason chiama "IT e igiene della sicurezza". Ciò significa evitare le vulnerabilità e filtrare il traffico e-mail e web. Significa anche fornire formazione agli utenti e assicurarsi che le patch per il sistema operativo, le applicazioni e i prodotti di sicurezza siano completamente aggiornate.

Il secondo passo è avere una strategia di continuità aziendale e di recupero. Questo significa in realtà fare un piano per quando le cose vanno male invece di sperare che non lo facciano. Barak ha affermato che ciò include l'esecuzione e il collaudo dei backup, la conoscenza del modo in cui si ripristinano i servizi interessati, la conoscenza delle risorse di calcolo per il recupero e la consapevolezza che il piano di ripristino completo funzionerà perché è stato effettivamente testato.

Il terzo passo è disporre di una protezione antimalware. Barak ha affermato che questo include protezioni contro i malware che entrano nella tua rete e protezioni contro l'esecuzione di malware sui tuoi sistemi. Fortunatamente, la maggior parte dei malware è abbastanza facile da individuare perché gli autori di malware condividono spesso routine di successo.

Perché il ransomware è diverso

Sfortunatamente, il ransomware non è come altri malware. Barak ha affermato che, poiché il ransomware risiede brevemente su un computer, non è difficile evitare il rilevamento prima che abbia completato la sua crittografia e inviato il messaggio di ransomware. Inoltre, a differenza di altri tipi di malware, il malware che esegue effettivamente la crittografia dei file può arrivare sui computer della vittima solo pochi istanti prima dell'inizio della crittografia.

Due tipi di malware relativamente recenti, Ryuk e SamSam, entrano nei tuoi sistemi sotto la guida di un operatore umano. Nel caso di Ryuk, tale operatore si trova probabilmente nella Corea del Nord e con SamSam, in Iran. In ogni caso, l'attacco inizia con la ricerca di credenziali che consentono l'ingresso nel sistema. Una volta lì, l'operatore esamina il contenuto del sistema, decide quali file crittografare, eleva i privilegi, cerca e disattiva software anti-malware e collega ai backup anche per essere crittografati o, in alcuni casi, disattiva i backup. Quindi, dopo forse mesi di preparazione, il malware di crittografia viene caricato e avviato; potrebbe finire il suo lavoro in pochi minuti, troppo rapidamente perché un operatore umano possa intervenire.

"In SamSam non hanno utilizzato il phishing convenzionale", ha spiegato Carlos Solari, vicepresidente dello sviluppatore di soluzioni per la sicurezza informatica Comodo Cybersecurity ed ex CIO della Casa Bianca. "Hanno usato siti Web e rubato credenziali di persone e hanno usato la forza bruta per ottenere le password".

Solari ha affermato che queste intrusioni spesso non vengono rilevate perché non vi sono malware coinvolti fino alla fine. Ma ha detto che, fatto correttamente, ci sono modi per fermare l'attacco a questo punto. Di solito, ha detto, i criminali inseguiranno i servizi di directory per la rete e li attaccheranno in modo da poter ottenere i privilegi di livello amministrativo richiesti per la loro messa in scena per l'attacco. A questo punto, un sistema di rilevamento delle intrusioni (IDS) può rilevare le modifiche e, se gli operatori di rete sanno cosa cercare, possono bloccare il sistema e respingere gli intrusi.

"Se stanno prestando attenzione, allora si renderanno conto che qualcuno è all'interno", ha detto Solari. "È importante trovare informazioni sulle minacce interne ed esterne. Stai cercando anomalie nel sistema."

Come proteggersi

Per le aziende più piccole, Solari suggerisce che le aziende trovano un servizio di gestione delle operazioni di rilevazione e risposta gestite (MDR) come servizio. Ha aggiunto che le aziende più grandi potrebbero voler trovare un Managed Security Services Provider (MSSP). Entrambe le soluzioni consentiranno di tenere d'occhio gli eventi di sicurezza, inclusa la messa in scena prima di un grave attacco ransomware.

Oltre a monitorare la tua rete, è anche importante renderla tale da renderla il più inospitale possibile per i criminali. Secondo Adam Kujawa, direttore di Malwarebyte Labs, un passaggio fondamentale è segmentare la rete in modo che un intruso non possa semplicemente spostarsi attraverso la rete e avere accesso a tutto. "Non dovresti conservare tutti i tuoi dati nello stesso posto", ha detto Kujawa. "Hai bisogno di un livello più profondo di sicurezza."

Ma, se si scopre che non hai rilevato le fasi invasive prima dell'attacco al ransomware, allora c'è un altro livello o risposta, che è il rilevamento del comportamento del malware quando inizia a crittografare i file.

"Ciò che abbiamo aggiunto è un meccanismo comportamentale che si basa su comportamenti tipici del ransomware", spiega Barak. Ha detto che tale software osserva cosa potrebbe fare il ransomware, come crittografare i file o cancellare i backup, e quindi prendere provvedimenti per interrompere il processo prima che possa causare danni. "È più efficace contro i ceppi di ransomware mai visti prima."

Avvertenze e protezioni anticipate

Per fornire una forma di allarme rapido, Barak ha affermato che Cybereason fa un altro passo. "Quello che abbiamo fatto è usare un meccanismo di eccezione", ha detto. "Quando il software Cybereason va su un endpoint, crea una serie di file di base che sono posizionati in cartelle sul disco rigido che indurrebbe i ransomware a provare prima a crittografarli." Ha detto che le modifiche a quei file vengono rilevate immediatamente, Quindi, il software Cybereason o software simile di Malwarebytes interromperà il processo e, in molti casi, containerizzerà il malware in modo che non possa causare ulteriori danni.

Quindi, ci sono diversi livelli di difesa che possono prevenire un attacco ransomware e, se li hai tutti funzionali e in atto, un attacco di successo dovrebbe seguire una serie di fallimenti per poter accadere. E puoi fermare quegli attacchi ovunque lungo la catena.

Dovresti pagare il riscatto?

Supponiamo che tu decida di voler pagare il riscatto e ripristinare immediatamente le operazioni? "Per alcune organizzazioni, è un'opzione praticabile", ha detto Barak.

Dovresti valutare il costo dell'interruzione dell'attività per determinare se il costo per tornare in esercizio è migliore del costo del restauro, tutto sommato. Barak ha affermato che, per gli attacchi di ransomware aziendali, "nella maggior parte dei casi, si recuperano i file".

Ma Barak ha detto che, se pagare il riscatto è una possibilità, allora hai altre considerazioni. "Come possiamo prepararci in anticipo per avere il meccanismo per negoziare i costi per ottenere i servizi indietro? Come li paghiamo? Come possiamo formare il meccanismo per mediare quel tipo di pagamento?"

Secondo Barak, quasi ogni attacco di ransomware include un mezzo per comunicare con l'aggressore e la maggior parte delle aziende cerca di negoziare un accordo a cui gli attaccanti di ransomware sono generalmente aperti. Ad esempio, puoi decidere di aver bisogno solo di una parte delle macchine che sono state crittografate e di negoziare solo per la restituzione di tali macchine.

• La migliore protezione ransomware per il 2019 La migliore protezione ransomware per il 2019
• Gli hacker SamSam Ransomware hanno un rastrello in $ 5, 9 milioni Gli hacker SamSam Ransomware hanno un rastrello in $ 5, 9 milioni
• 2 iraniani dietro gli attacchi di SamSam Ransomware, reclami USA 2 iraniani dietro gli attacchi di SamSam Ransomware, reclami USA

"Il piano deve essere messo in atto in anticipo. Come risponderai, chi comunicherà, come pagherai il riscatto?" Disse Barak.

Mentre il pagamento è un'opzione praticabile, per la maggior parte delle organizzazioni rimane un'opzione di ultima generazione, non una risposta immediata. Ci sono molte variabili che non puoi controllare in quello scenario, inoltre, avendo pagato una volta, non puoi mai garantire che non sarai attaccato per più denaro in futuro. Un piano migliore sta usando una solida difesa che è abbastanza difficile da deviare la maggior parte degli attacchi di malware e sconfiggere quei pochi che riescono. Ma qualunque cosa tu decida, ricorda che praticamente ogni soluzione richiede il backup religioso. Fallo ora, fallo spesso e prova spesso, anche, per assicurarti che le cose funzionino senza intoppi in un pizzico.