Da SentinelOne 7 modi in cui i ransomware possono colpire

Da SentinelOne 7 modi in cui i ransomware possono colpire

Paolo Ardemagni, Senior Regional Director Southern Europe & Emerging Markets di SentinelOne, mostra le diverse circostanze in cui il malware infetta solitamente i dispositivi

Per evitare che le organizzazioni cadano vittime di attacchi ransomware, è indispensabile comprendere le diverse tipologie di attacchi ai danni di dispositivi e reti connesse ai medesimi. Secondo i recenti trend, la perdita di accesso ai propri dati è aggravata dalla possibilità di subire un’estrazione degli stessi, seguita dalla minaccia di divulgarli pubblicamente se non viene pagato un riscatto. Secondo quanto evidenziato dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) tra gennaio e dicembre 2020, le tipologie di eventi cyber che hanno maggiormente impegnato gli operatori del Centro sono rappresentate dagli attacchi a mezzo malware. Tra questi i più frequenti sono stati i ransomware, gli attacchi DDoS con finalità estorsiva, campagne di phishing e, in ultimo, campagne APT (Advanced Persistent Threats), particolarmente insidiose poiché ricollegabili ad attori malevoli dotati di notevole expertise tecnico e rilevanti risorse.

In seguito all’exploit, un ransomware può diffondersi ad altri dispositivi, crittografare file condivisi presenti nella rete dell’organizzazione e oltrepassare i confini aziendali raggiungendo la supply chain, i clienti e altre organizzazioni. In questo allarmante contesto, si raccomanda l’adozione di misure di sicurezza proattive e preventive.  Quali sono le modalità con le quali i malware infettano solitamente i dispositivi? Analizziamoli insieme.

  1. Phishing e social engineering

Oggi, il vettore più comune, utilizzato dagli hacker per introdurre un ransomware sull’endpoint, è l’e-mail phishing. Questi messaggi di posta elettronica, utilizzando informazioni personalizzate per ingannare l’utente, conducono il medesimo a scaricare allegati o a cliccare su link che veicolano exploit dannosi. I documenti utilizzati per ingannarci, possono sfruttare una configurazione predefinita o un formato all’apparenza standard come quello dei documenti PDF. Quando si clicca su uno di essi, viene avviata l’esecuzione dei file e ha inizio il processo di crittografia dei dati sul dispositivo della vittima.

Leggi anche:  CRIF, la cybersecurity come leva di business

2.    Siti web compromessi

Attraverso la loro configurazione, i siti web compromessi, vengono utilizzati dagli hacker per veicolare codici dannosi. Il sito internet, solitamente reindirizza l’utente in una pagina dove gli richiesto di scaricare la versione più recente di un software, ad esempio il browser web o un plugin. A causa dell’impossibilità di verificare il codice del sito che visitano, per gli utenti è particolarmente difficile rilevare queste minacce.

Se il sito è stato sviluppato per introdurre un ransomware, il malware potrebbe essere attivato direttamente o potrebbe eseguire un programma di installazione che scarica e rilascia il ransomware.

3.    Malvertising e violazione del browser

Se il browser di un utente presenta una vulnerabilità priva di patch, può diventare il bersaglio per un attacco di pubblicità malevola (malvertising). Questa, che consiste in un annuncio pubblicitario in un sito web all’interno del quale è stato inserito un codice dannoso, quando viene visualizzata scarica il ransomware sul dispositivo dell’utente. Sebbene si tratti di un vettore meno comune, rappresenta forse la minaccia più pericolosa in quanto non richiede nessuna azione alla potenziale vittima.

4.    Kit di exploit che introducono malware personalizzati

Angler, Neutrino e Nuclear sono kit di exploit utilizzati per distribuire ransomware. Questi framework sono toolkit malevoli che appoggiandosi a exploit predefiniti sfruttano le vulnerabilità nei plugin del browser, come Java e Adobe Flash. Anche Microsoft Internet Explorer e Microsoft Silverlight sono bersagli comuni. Ransomware come Locky e CryptoWall sono stati introdotti tramite kit di exploit e campagne di malvertising.

5.    File e download di applicazioni malevole

Tutti i file e le applicazioni scaricabili da siti web, possono essere utilizzati come vettori di attacchi ransomware. Solitamente, i software pirata presenti sui siti illegali, sono portatori di malware, come confermano i recenti casi di MBRLocker. Gli hacker possono sfruttare anche siti web legittimi, introducendo un malware che, una volta scaricato dall’utente, ha libero accesso al dispositivo.

Leggi anche:  FINIX Technology Solutions sigla un accordo con SentryBay

6.    Applicazioni di messaggistica

Attraverso applicazioni di messaggistica come WhatsApp e Facebook Messenger, i ransomware possono assumere le sembianze di oggetti SVG (Scalable Vector Graphics) e caricare un file in grado di oltrepassare i tradizionali filtri delle estensioni. Poiché la tecnologia SVG si basa su XML, i cybercriminali sono in grado di introdurre qualsiasi tipo di contenuto. Una volta aperta l’immagine compromessa, l’utente viene indirizzato a un sito, apparentemente legittimo. Terminato il caricamento, alla vittima viene richiesto di accettare un’installazione che, una volta eseguita, introduce il payload e accede ai contatti dell’utente diffondendosi ulteriormente.

7.    Attacchi brute force tramite server RDP

Servendosi di ransomware come SamSam, gli hacker riescono a compromettere direttamente gli endpoint, utilizzando un attacco brute force mediante server RDP (Remote Desktop Protocol) con connessione internet.  Se da un lato il server RDP consente ai team IT di accedere e controllare da remoto il dispositivo di un utente, dall’altro questo vantaggio può essere sfruttato dagli hacker per lanciare exploit.

Gli hacker possono individuare dispositivi vulnerabili, servendosi di strumenti come Shodan e scanner di porte aperte come Nmap e Zenmap. Una volta identificato il bersaglio, i cybercriminali possono eseguire il brute forcing della password ed effettuare l’accesso come amministratori. Una volta ottenuto il pieno controllo del dispositivo, i cybercriminali possono crittografare i dati, disattivare la protezione degli endpoint ed eliminare i backup, aumentando la probabilità di riscuotere il pagamento o raggiungere altri scopi.

Conclusioni

In questo scenario, la popolarità del ransomware-as-a-service – piattaforme RaaS che permettono a chiunque di creare il proprio ransomware con pochi click – è in crescita. Gli autori di malware sviluppano ransomware personalizzati, seguendo le richieste dei propri clienti, in cambio di un percentuale sui profitti. Questa suddivisione di compiti e rischi sta generando una serie di attacchi mirati, condotti attraverso metodi di introduzione sempre più innovativi.

Leggi anche:  Cyber Guru, sicurezza e fattore umano

Alle organizzazioni viene quindi richiesto di investire nella sicurezza degli endpoint e delle reti, anticipando le violazioni attraverso l’implementazione tecnologie in grado di intercettare proattivamente eventuali minacce. La piattaforma Xdr di SentinelOne, attraverso la prevenzione, il rilevamento e la risposta basati sull’intelligenza artificiale, consente di ottenere una visibilità completa su tutto ciò che accade nella rete, neutralizzando qualsiasi tipo di attacco.