Battaglia al Ransomware, un tag alla volta

Nell’ottobre 2023, nell’ambito del Ransomware Vulnerability Warning Pilot  (RVWP), il CISA ha iniziato a contrassegnare voci nel loro catalogo di Known Exploited Vulnerabilities (KEV). Questo campo indica se sono noti exploit per una determinata vulnerabilità che vengono utilizzati negli attacchi ransomware. Il ransomware ha interrotto servizi critici, aziende e comunità in tutto il mondo e molte organizzazioni stanno lavorando diligentemente per anticipare questi attacchi al fine di prevenire perdite, interruzioni ed esposizioni.

Abbiamo già parlato di questo argomento in precedenza, ma oggi approfondiamo un po’ l’argomento con alcune indicazioni specifiche su come la vostra organizzazione possa combattere la buona battaglia contro questi nemici sfruttando il potere dei tag di GreyNoise.

Tag di GreyNoise vs Ransomware

Come sanno molte organizzazioni che li utilizzano, i tag di GreyNoise sono un metodo di rilevamento basato su firme che categorizza il rumore su Internet in intelligence attuabile. Al momento della stesura, abbiamo osservato un’attività recente in 63 tag che il CISA ha identificato come utilizzati in associazione con gli attacchi ransomware. La figura all’inizio di questo post mostra la frequenza e il volume di questa attività opportunistica. Una caratteristica sorprendente di questa attività è la diversità delle piattaforme mirate.

Nel caso delle campagne di attacco rivolte all’Internet, si potrebbe supporre che le vulnerabilità mirate dagli attori del ransomware si orientino verso tecnologie di accesso remoto. Il grafico e i nostri dati che lo supportano mostrano che quasi nessuna categoria tecnologica è al sicuro da questi tipi di attacchi. Strumenti di collaborazione, come Atlassian Confluence o JetBrains TeamCity; piattaforme email, come Microsoft Exchange; software che alimenta servizi middleware delle applicazioni, come Jboss e WebLogic; o persino dispositivi pensati per aumentare la sicurezza e la resilienza, come SonicWall, Ivanti, Citrix e Fortinet, sono tutti bersagliati regolarmente.

Se si utilizzano una di queste tecnologie, sapere quando viene rilevata una nuova attività può essere utile per rafforzare le difese e preparare le attività di risposta. Sfruttando le funzionalità della piattaforma GreyNoise, come i nostri avvisi e le liste di blocco, i team di sicurezza possono rispettivamente determinare se è necessario concentrarsi di più sul monitoraggio dei sistemi chiave e sulla prevenzione dei danni opportunistici. Con il rumore eliminato, i team di risposta possono concentrare la loro attenzione su attività simili che probabilmente saranno più mirate, il che potrebbe significare anche da parte di avversari più capaci. E, poiché ci integriamo incredibilmente bene con una serie di altre soluzioni di sicurezza, i team possono anche risparmiare tempo e utilizzare la nostra intelligence all’interno di ambienti familiari.

La lunga e sporadica coda dell’attività dei tag ransomware

Un’altra caratteristica sorprendente del nostro grafico di attività dei tag ransomware è la diversità dell’attività. Le implementazioni cloud sono in cima alla lista, con gli aggressori che cercano di sfruttare le configurazioni errate che possono sorgere in questi ambienti altamente dinamici. Anche le tecnologie ampie e comunemente implementate sono obiettivi regolari, poiché questi sistemi possono diventare vittime di configurazioni errate, specialmente quando ripristinati da backup non aggiornati.

Tuttavia, scendendo nella lista, la frequenza diventa molto più sporadica, e molte coinvolgono solo singoli host rispetto a eserciti di botnet. Ciò può essere dovuto alla familiarità dell’attaccante o agli attori individuali che si basano sui risultati di ricerche Censys o Shodan ben temporate che mostrano nuove configurazioni vulnerabili esposte. Se la vostra organizzazione utilizza uno di questi componenti, non c’è davvero tregua dalla vigilanza.

L’elenco GNQL di ransomware

Per aiutare i difensori a prendere una posizione vantaggiosa su questi attacchi, di seguito è riportato un elenco con i link a ciascun tag individuale noto per essere utilizzato negli attacchi ransomware. Su ciascuna pagina del tag, è possibile trovare l’URL della lista di blocco che è possibile utilizzare per eliminare immediatamente il rumore opportunistico. Avvolgendo uno o più di essi all’interno di una query GNQL, come tags:”F5 BIG-IP iControl RCE Attempt”, è possibile impostare un avviso per essere notificati quando viene rilevata una nuova attività, specialmente in tag generalmente dormienti.

Per saperne di più

Se sei curioso di sapere come esattamente i ricercatori di GreyNoise creano i nostri tag, abbiamo una serie di webinar divisa in tre parti che discute la composizione dei nostri tag, ti guida attraverso il processo di scoperta di ciò che deve essere etichettato e illustra come l’IA sta potenziando la creazione di nuovi tag e rilevamenti:

Non sei ancora un cliente di GreyNoise? Scopri quanto tempo GreyNoise potrebbe risparmiare alla tua organizzazione e quante ore i tuoi difensori possono risparmiare con il nostro calcolatore ROI.

Registrati per scoprire tutte le funzionalità

Articolo originale

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Quali sono i vantaggi di una API anti-phishing?

Quali sono i vantaggi di una API anti-phishing?

Gli esseri umani sono l’anello più debole e il phishing sfrutta l’errore umano. Gli autori di phishing inducono un senso di urgenza nei destinatari, quindi i dipendenti sono spesso costretti a compiere azioni dubbie senza pensare alle conseguenze. Il risultato è...