Protezione ransomware in Azure

  • Articolo

Ransomware ed estorsione sono un business ad alto profitto, a basso costo, che ha un impatto debilitante sulle organizzazioni mirate, sulla sicurezza nazionale/regionale, sulla sicurezza economica e sulla salute pubblica e sulla sicurezza pubblica. Ciò che è iniziato come semplice ransomware single-PC è cresciuto per includere una varietà di tecniche di estorsione indirizzate a tutti i tipi di reti aziendali e piattaforme cloud.

Per garantire che i clienti in esecuzione in Azure siano protetti dagli attacchi ransomware, Microsoft ha investito molto sulla sicurezza delle piattaforme cloud e fornisce controlli di sicurezza necessari per proteggere i carichi di lavoro cloud di Azure

Sfruttando le protezioni ransomware native di Azure e implementando le procedure consigliate in questo articolo, si stanno prendendo misure che garantiscono che l'organizzazione sia posizionata in modo ottimale per prevenire, proteggere e rilevare potenziali attacchi ransomware sugli asset di Azure.

Questo articolo illustra le principali funzionalità e difese native di Azure per attacchi ransomware e indicazioni su come sfruttare in modo proattivo questi asset per proteggere gli asset nel cloud di Azure.

Una minaccia crescente

Gli attacchi ransomware sono diventati uno dei più grandi problemi di sicurezza che si trovano oggi nelle aziende. In caso di esito positivo, gli attacchi ransomware possono disabilitare un'infrastruttura IT principale dell'azienda e causare la distruzione che potrebbe avere un impatto debilitante sulla sicurezza fisica, economica o sulla sicurezza di un'azienda. Gli attacchi ransomware sono destinati alle aziende di tutti i tipi. Ciò richiede che tutte le aziende prendano misure preventive per garantire la protezione.

Le tendenze recenti sul numero di attacchi sono piuttosto in allarme. Anche se il 2020 non era un buon anno per gli attacchi ransomware alle aziende, il 2021 iniziava su una traiettoria non valida. Il 7 maggio, l'attacco coloniale (coloniali) arresta i servizi come il trasporto di pipeline di gasolio, benzina e carburante jet sono stati interrotti temporaneamente. La colonia ha chiuso la rete di carburante critica che fornisce gli stati orientali più popolati.

Storicamente, i cyberattack sono stati visti come un set sofisticato di azioni destinate a determinati settori, che hanno lasciato i settori rimanenti credendo di essere all'esterno dell'ambito della criminalità informatica e senza contesto su quali minacce alla sicurezza informatica devono prepararsi. Ransomware rappresenta un grande cambiamento in questo panorama delle minacce, ed è reso cyberattacks un pericolo molto reale e onnipresente per tutti. I file crittografati e persi e le note di riscatto minacciose sono ora diventati la paura principale per la maggior parte dei team esecutivi.

Il modello economico del ransomware capitalizza l'errore che un attacco ransomware è solo un evento malware. Mentre in realtà ransomware è una violazione che coinvolge avversari umani che attaccano una rete.

Per molte organizzazioni, il costo da ricompilare da zero dopo un incidente ransomware supera molto il riscatto originale richiesto. Con una conoscenza limitata del panorama delle minacce e del funzionamento del ransomware, il riscatto sembra come la decisione aziendale migliore per tornare alle operazioni. Tuttavia, il danno reale viene spesso fatto quando il cybercriminal esfiltra i file per il rilascio o la vendita, lasciando le backdoor nella rete per l'attività criminale futura, e questi rischi persistono se il riscatto viene pagato o meno.

Che cos'è ransomware

Ransomware è un tipo di malware che infetta un computer e limita l'accesso di un utente al sistema infettato o a file specifici per estorcerli per denaro. Dopo che il sistema di destinazione è stato compromesso, in genere blocca la maggior parte dell'interazione e visualizza un avviso sullo schermo, in genere indica che il sistema è stato bloccato o che tutti i file sono stati crittografati. Richiede quindi un riscatto notevole prima che il sistema venga rilasciato o decrittografato i file.

Il ransomware sfrutta in genere le debolezze o le vulnerabilità nei sistemi o nelle infrastrutture IT dell'organizzazione per avere esito positivo. Gli attacchi sono così ovvi che non prende molta indagine per confermare che l'azienda è stata attaccata o che un evento imprevisto deve essere dichiarato. L'eccezione sarebbe un messaggio di posta elettronica di posta indesiderata che richiede riscatto in cambio di materiali presumibilmente compromessi. In questo caso, questi tipi di eventi imprevisti devono essere trattati come posta indesiderata a meno che il messaggio di posta elettronica non contenga informazioni altamente specifiche.

Qualsiasi azienda o organizzazione che gestisce un sistema IT con dati in esso può essere attaccato. Anche se i singoli utenti possono essere destinati a un attacco ransomware, la maggior parte degli attacchi sono destinati alle aziende. Mentre l'attacco ransomware coloniale di maggio 2021 ha richiamato notevole attenzione pubblica, il nostro team di rilevamento e risposta (DART) mostra che il settore energetico rappresenta uno dei settori più mirati, insieme ai settori finanziari, sanitari e di intrattenimento. E nonostante le promesse continue non attacchino ospedali o aziende sanitarie durante una pandemia, la sanità rimane il numero uno degli obiettivi del ransomware gestito dall'uomo.

Grafico a torta che illustra i settori che sono mirati da ransomware

Modalità di destinazione degli asset

Quando si attacca l'infrastruttura cloud, gli avversari spesso attaccano più risorse per cercare di ottenere l'accesso ai dati dei clienti o ai segreti aziendali. Il modello cloud "kill chain" spiega come gli utenti malintenzionati tentano di accedere a una qualsiasi delle risorse in esecuzione nel cloud pubblico tramite un processo in quattro passaggi: esposizione, accesso, movimento laterale e azioni.

  1. L'esposizione è la posizione in cui gli utenti malintenzionati cercano opportunità per ottenere l'accesso all'infrastruttura. Ad esempio, gli utenti malintenzionati sanno che le applicazioni con connessione al cliente devono essere aperte per consentire agli utenti legittimi di accedervi. Tali applicazioni vengono esposte a Internet e quindi soggette a attacchi.
  2. Gli utenti malintenzionati tenteranno di sfruttare un'esposizione per ottenere l'accesso all'infrastruttura cloud pubblica. Questa operazione può essere eseguita tramite credenziali utente compromesse, istanze compromesse o risorse configurate in modo errato.
  3. Durante la fase di spostamento laterale, gli utenti malintenzionati individuano le risorse a cui hanno accesso e l'ambito di tale accesso. Gli attacchi riusciti alle istanze consentono agli utenti malintenzionati di accedere ai database e ad altre informazioni riservate. L'utente malintenzionato cerca quindi credenziali aggiuntive. I nostri Microsoft Defender per i dati cloud mostrano che senza uno strumento di sicurezza per notificare rapidamente l'attacco, le organizzazioni richiedono in media 101 giorni per individuare una violazione. Nel frattempo, in soli 24-48 ore dopo una violazione, l'utente malintenzionato avrà in genere il controllo completo della rete.
  4. Le azioni eseguite da un utente malintenzionato dopo lo spostamento laterale dipendono in gran parte dalle risorse a cui sono stati in grado di accedere durante la fase di spostamento laterale. Gli utenti malintenzionati possono eseguire azioni che causano l'esfiltrazione dei dati, la perdita di dati o l'avvio di altri attacchi. Per le aziende, l'impatto finanziario medio della perdita dei dati raggiunge ora 1,23 milioni di dollari.

Diagramma di flusso che mostra come l'infrastruttura cloud viene attaccata: Esposizione, Accesso, Spostamento laterale e Azioni

Perché gli attacchi hanno esito positivo

Esistono diversi motivi per cui gli attacchi ransomware hanno esito positivo. Le aziende vulnerabili spesso rientrano vittime di attacchi ransomware. Di seguito sono riportati alcuni dei fattori critici di successo dell'attacco:

  • La superficie di attacco è aumentata come più e più aziende offrono più servizi tramite punti di vendita digitali
  • C'è una notevole facilità di ottenere malware off-the-shelf, Ransomware-as-a-Service (RaaS)
  • L'opzione di usare criptovaluta per i pagamenti di ricatto ha aperto nuove strade per exploit
  • Espansione di computer e loro utilizzo in luoghi di lavoro diversi (distretti scolastici locali, reparti di polizia, auto della squadra di polizia e così via) ognuno dei quali è un potenziale punto di accesso per malware, causando potenziali attacchi superficie di attacco
  • Prevalenza di sistemi di infrastruttura e software vecchi, obsoleti e antiquati
  • Regimi di gestione delle patch poveri
  • Sistemi operativi obsoleti o molto vecchi che sono vicini a o sono andati oltre le date di fine del supporto
  • Mancanza di risorse per modernizzare il footprint IT
  • Gap di conoscenze
  • Mancanza di personale qualificato e personale chiave overdependency
  • Architettura di sicurezza scarsa

Gli utenti malintenzionati usano tecniche diverse, ad esempio l'attacco di forza bruta del protocollo RDP (Remote Desktop Protocol) per sfruttare le vulnerabilità.

Diagramma swimlane che illustra le diverse tecniche usate dagli utenti malintenzionati

Dovresti pagare?

Ci sono opinioni diverse su ciò che è la migliore opzione quando si confronta con questa domanda vexing. L'Ufficio federale di indagine (FBI) consiglia alle vittime di non pagare il riscatto, ma di essere vigile e prendere misure proattive per proteggere i dati prima di un attacco. Essi sostengono che il pagamento non garantisce che i sistemi bloccati e i dati crittografati verranno rilasciati di nuovo. L'FBI dice un altro motivo per cui non pagare è che i pagamenti ai criminali informatici li incentivino a continuare ad attaccare le organizzazioni.

Tuttavia, alcune vittime scelgono di pagare la richiesta di riscatto anche se l'accesso al sistema e ai dati non è garantito dopo aver pagato il riscatto. Con il pagamento, tali organizzazioni prendono il rischio calcolato di pagare in speranza di recuperare il sistema e i dati e di riprendere rapidamente le normali operazioni. Parte del calcolo è la riduzione dei costi collaterali, ad esempio la perdita di produttività, il calo dei ricavi nel tempo, l'esposizione dei dati sensibili e il potenziale danno di reputazione.

Il modo migliore per impedire il riscatto non è quello di cadere vittima implementando misure preventive e avendo strumenti di saturazione per proteggere l'organizzazione da ogni passaggio che l'utente malintenzionato esegue completamente o incrementalmente per hackerare nel sistema. Inoltre, avere la possibilità di recuperare asset interessati garantirà il ripristino delle operazioni aziendali in modo tempestivo. Azure Cloud offre un set affidabile di strumenti per guidarvi in tutto il modo.

Qual è il costo tipico per un'azienda?

L'impatto di un attacco ransomware su qualsiasi organizzazione è difficile da quantificare in modo accurato. Tuttavia, a seconda dell'ambito e del tipo, l'impatto è multidimensionale ed è ampiamente espresso in:

  • Perdita dell'accesso ai dati
  • Interruzione dell'operazione aziendale
  • Perdita finanziaria
  • Furto di proprietà intellettuale
  • Fiducia dei clienti compromessa e reputazione offuscata

La pipeline coloniale ha pagato circa 4,4 milioni di dollari in riscatto per avere i loro dati rilasciati. Ciò non include il costo del tempo di inattività, la perdita di produzione, le vendite perse e il costo del ripristino dei servizi. Più ampiamente, un impatto significativo è il "impatto negativo" sull'impatto di un numero elevato di aziende e organizzazioni di tutti i tipi, tra cui città e città nelle loro aree locali. L'impatto finanziario è anche sconcertante. Secondo Microsoft, il costo globale associato al ripristino ransomware è proiettato a superare i 20 miliardi di dollari nel 2021.

Grafico a barre che mostra l'impatto sull'azienda

Passaggi successivi

Vedere il white paper: Difese di Azure per l'attacco ransomware white paper.

Altri articoli in questa serie: