Di Amy Fair, SpyCloud
Il ransomware continua a essere un problema ampio, persistente e complicato che è al primo posto per la C-suite: un sondaggio di oltre 400 CISO ha rilevato che il ransomware è la principale minaccia informatica più preoccupante per gli intervistati. Un modo per prevenire il ransomware è identificare e correggere i punti di ingresso comuni. Qui ne delineamo tre e discutiamo i passaggi che devi intraprendere per colmare in modo proattivo le lacune nella tua strategia di prevenzione del ransomware.
1) Credenziali compromesse
I criminali non entrano, fanno il login e non sono a corto di credenziali da usare contro di noi. Solo l’anno scorso SpyCloud ha recuperato 1,7 miliardi di credenziali esposte e 13,8 miliardi di informazioni di identificazione personale (PII), tutte disponibili per i criminali da sfruttare negli attacchi. Il Verizon 2022 Data Breach Investigations Report ha anche indicato un aumento del 30% delle credenziali rubate dal 2017 e ha affermato:
“Sosteniamo da tempo che le credenziali siano il tipo di dati preferito dagli attori criminali perché sono utili per mascherarsi da utenti legittimi del sistema. C’è anche un grande mercato per la loro rivendita”.
Con l’aumento del ransomware nel 2021, è stato riferito che l’attacco al Colonial Pipeline, il più grande oleodotto di carburante degli Stati Uniti, è stato “il risultato di un’unica password compromessa”. Gli aggressori hanno ottenuto l’accesso alle reti dell’azienda tramite l’account di rete privata virtuale di un dipendente. La password del dipendente è stata scoperta in una serie di password trapelate disponibili sul dark web, il che significa che il dipendente “potrebbe aver utilizzato la stessa password su un altro account che era stato precedentemente violato”.
Uno degli approcci più semplici alla prevenzione del ransomware è trattarlo come un attacco successivo da account takeover (ATO). L’obiettivo di ATO è che i criminali perpetrino tutti i tipi di attività dannose, non limitate al ransomware, senza essere scoperti. In uno scenario tipico, un operatore di ransomware ottiene le credenziali tramite un broker di accesso iniziale, che le ha acquistate, indovinate o rubate e le fornisce all’operatore a pagamento.
Un’altra preoccupazione per quanto riguarda le credenziali compromesse è il riutilizzo della password. SpyCloud ha riscontrato un tasso di riutilizzo delle password del 64% lo scorso anno, il che mette le aziende a rischio quando i dipendenti riutilizzano le password su più account online. Le credenziali che sono state esposte in violazioni di dati di terze parti o sottratte tramite malware possono essere sfruttate per accedere ai loro account aziendali. Una soluzione automatizzata di prevenzione ATO può proteggere la tua organizzazione da compromessi dovuti al riutilizzo delle password, ridurre il rischio di perdita di dati e tempi di inattività dovuti al ransomware e proteggere il tuo marchio e la tua reputazione.
2) Dispositivi non gestiti o Bring Your Own Device (BYOD)
Anche i dipendenti che utilizzano dispositivi personali per accedere alle risorse e alle applicazioni aziendali rappresentano una minaccia per le organizzazioni. I team di sicurezza IT lottano già per rimanere al passo con le sfide di sicurezza di cui sono consapevoli, quindi aumentare la superficie di attacco con dispositivi che non possono vedere o controllare pone ancora più oneri ai team già sopraffatti.
Il malware diventa una minaccia significativa quando i dipendenti utilizzano dispositivi non gestiti; se qualcuno utilizza le proprie credenziali aziendali per accedere alle applicazioni aziendali su un dispositivo personale che è inconsapevolmente infettato da malware, tali informazioni potrebbero essere sottratte direttamente nelle mani dei criminali informatici per essere vendute nel sottosuolo criminale.
Considera la minaccia di un solo dispositivo infetto. Con l’accesso a 50, 60, 100, 200 applicazioni di lavoro, questo rappresenta un enorme rischio per l’azienda: ogni applicazione compromessa da malware, che si tratti di un’istanza SSO, di un database CRM o di una chat aziendale. Sono tutti punti di ingresso in un’organizzazione.
E non si tratta solo di un dispositivo o di alcune credenziali compromesse o di cookie di sessione. Gli infostealer sottraggono così tante informazioni anche da un solo dispositivo che il profilo di rischio creato da quell’infezione è significativo. Inoltre, il rischio è spesso sottovalutato poiché ottenere visibilità su dispositivi personali non monitorati ed esposizioni di applicazioni della forza lavoro di terze parti è difficile o impossibile per la maggior parte dei team di sicurezza.
Queste infezioni da malware possono avere gravi ripercussioni a lungo termine. I dati sottratti al malware vengono visualizzati sui registri delle botnet che vengono poi venduti alla criminalità clandestina, che possono essere utilizzati per lanciare attacchi ransomware. Gli operatori di ransomware utilizzano frequentemente i log di malware per identificare credenziali di alto valore e altri dati possono aiutare i gruppi di ransomware ad accedere alle aziende.
Sfortunatamente, le soluzioni EDR (Endpoint Detection Response) e ASM (Application Security Management) esistenti non offrono una protezione adeguata dagli attacchi malware. Le aziende hanno bisogno di informazioni dettagliate sul quadro completo dei rischi del malware, comprese le risorse compromesse che molto probabilmente porteranno a futuri attacchi ransomware.
3) Dispositivi gestiti con vulnerabilità
I criminali informatici sono alla ricerca di targhet a basso impatto e anche i dispositivi gestiti possono presentare vulnerabilità per le organizzazioni. Un computer dei dipendenti che non è aggiornato sulle patch di sicurezza o non segue le politiche di sicurezza potrebbe fungere da porta aperta per il ransomware.
Ad esempio, un criminale può scoprire una vulnerabilità in un server back-end. Di solito, quello che stanno cercando di trovare è il database degli utenti che contiene le e-mail o i nomi utente, le password e altre PII di tutti. Remote Desktop Protocol (RDP) è un altro modo in cui i malintenzionati possono accedere alle risorse aziendali accedendo al sistema utilizzando credenziali deboli o compromesse che potrebbero essere facilmente indovinate o acquistate in clandestinità criminale. Per alcuni criminali, questo è tutto ciò che fanno: cercano buchi nei server Web o in altri servizi di connessione a Internet e cercano di ottenere l’accesso da lì.
Una volta nella rete, i criminali possono quindi spostarsi lateralmente all’interno dell’organizzazione, aggirando l’autenticazione a più fattori (MFA) e aumentando i privilegi per ottenere ancora più accesso alle applicazioni e ai dati aziendali critici per poter iniziare a crittografare e distruggere i file.
Per prevenire questo tipo di vulnerabilità, i team di sicurezza IT devono monitorare e tenere traccia della conformità alle policy di sicurezza in tutta la forza lavoro per garantire che tutte le risorse e le risorse aziendali soddisfino le policy di sicurezza informatica dell’organizzazione. SpyCloud offre anche consigli sulle password per rafforzare ulteriormente le tue difese ransomware.
Protezione contro il ransomware
Per prevenire in modo proattivo gli attacchi ransomware, suggeriamo una raccomandazione chiave per ciascuno dei punti di ingresso sopra menzionati.
Mentre le bande di ransomware continuano a riscontrare un successo diffuso nei loro attacchi dannosi, c’è ancora speranza quando si tratta di prevenzione del ransomware. Essere consapevoli dei punti di ingresso rischiosi e adottare misure proattive per colmare tali lacune nella tua posizione di sicurezza aiuterà a proteggere la tua organizzazione dagli attacchi ransomware.