Condividi tramite


Che cos'è il ransomware?

In pratica, un attacco ransomware blocca l'accesso ai dati fino a quando non viene pagato un riscatto.

In effetti, ransomware è un tipo di malware o phishing attacco di sicurezza informatica che distrugge o crittografa file e cartelle in un computer, server o dispositivo.

Una volta che i dispositivi o i file sono bloccati o crittografati, i criminali informatici possono estorcere denaro dall'azienda o dal proprietario del dispositivo in cambio di una chiave per sbloccare i dati crittografati. Ma anche quando a pagamento, i criminali informatici potrebbero non dare mai la chiave all'azienda o al proprietario del dispositivo e interrompere l'accesso in modo permanente.

Microsoft Security Copilot sfrutta l'intelligenza artificiale per attenuare gli attacchi ransomware. Per altre soluzioni Microsoft per ransomware, visitare la libreria di soluzioni Ransomware.

Come funzionano gli attacchi ransomware?

Ransomware può essere automatizzato o coinvolgere le mani umane su una tastiera - un attacco gestito dall'uomo , come visto negli attacchi recenti usando LockBit ransomware.

Gli attacchi ransomware gestiti dall'uomo comportano le fasi seguenti:

  1. Compromissione iniziale: l'attore di minacce ottiene prima l'accesso a un sistema o a un ambiente dopo un periodo di ricognizione per identificare i punti deboli nella difesa.

  2. Persistenza e evasione della difesa: l'attore di minacce stabilisce un punto di appoggio nel sistema o nell'ambiente usando una backdoor o un altro meccanismo che opera in modo furtivo per evitare il rilevamento da parte dei team di risposta agli eventi imprevisti.

  3. Spostamento laterale: l'attore di minacce usa il punto iniziale di ingresso per eseguire la migrazione ad altri sistemi connessi all'ambiente di rete o dispositivo compromesso.

  4. Accesso alle credenziali: l'attore di minacce usa una pagina di accesso fittizia per raccogliere le credenziali utente o di sistema.

  5. Furto di dati: l'attore di minacce ruba dati finanziari o altri dati da utenti o sistemi compromessi.

  6. Impatto : l'utente interessato o l'organizzazione potrebbe subire danni materiali o di reputazione.

Malware comune usato nelle campagne ransomware

  • Qakbot : usa il phishing per diffondere collegamenti dannosi, allegati dannosi e per eliminare payload dannosi come Cobalt Strike Beacon

  • Ryuk : crittografia dei dati destinata in genere a Windows

  • Trickbot : include applicazioni Microsoft mirate, ad esempio Excel e Word. Trickbot in genere è stato recapitato tramite campagne di posta elettronica che utilizzavano eventi correnti o suggerimenti finanziari per invogliare gli utenti ad aprire allegati di file dannosi o fare clic su collegamenti ai siti Web che ospitano i file dannosi. Dal 2022, la mitigazione delle campagne che usano questo malware sembra aver interrotto la sua utilità.

Attori di minacce prevalenti associati alle campagne ransomware

  • LockBit : campagna ransomware-as-a-service (RaaS) motivata finanziariamente e la più prolifica minaccia ransomware nel periodo di tempo 2023-24
  • Black Basta : ottiene l'accesso tramite messaggi di posta elettronica spear-phishing e usa PowerShell per avviare un payload di crittografia

Come Microsoft può aiutare con un attacco ransomware in corso

Per ridurre gli attacchi ransomware in corso, Microsoft Incident Response può sfruttare e distribuire Microsoft Defender per identità, una soluzione di sicurezza basata sul cloud che consente di rilevare e rispondere alle minacce correlate all'identità. Portare il monitoraggio delle identità nella risposta agli eventi imprevisti in anticipo supporta il team delle operazioni di sicurezza dell'organizzazione interessata per riprendere il controllo. La risposta agli eventi imprevisti Microsoft usa Defender per identità per identificare l'ambito dell'evento imprevisto e gli account interessati, proteggere l'infrastruttura critica e rimuovere l'attore della minaccia. Il team di risposta porta quindi Microsoft Defender per endpoint per tracciare i movimenti dell'attore delle minacce e interrompere i tentativi di usare account compromessi per reinserire l'ambiente. Dopo aver contenuto l'evento imprevisto e il controllo amministrativo completo sull'ambiente, Microsoft Incident Response collabora con il cliente per prevenire futuri attacchi informatici.

Attacchi ransomware automatizzati

Gli attacchi ransomware di materie prime sono spesso automatizzati . Questi attacchi informatici possono diffondersi come un virus, infettare i dispositivi tramite metodi come phishing di posta elettronica e recapito di malware e richiedono la correzione per il malware.

Pertanto, è possibile proteggere il sistema di posta elettronica usando Microsoft Defender per Office 365 che protegge da malware e recapito di phishing. Microsoft Defender per endpoint funziona insieme a Defender per Office 365 per rilevare e bloccare automaticamente le attività sospette nei dispositivi, mentre Microsoft Defender XDR rileva il malware e i tentativi di phishing in anticipo.

Attacchi ransomware gestiti da persone

Il ransomware gestito dall'uomo è il risultato di un attacco attivo da parte di criminali informatici che si infiltra nell'infrastruttura IT locale o cloud di un'organizzazione, elevare i propri privilegi e distribuire ransomware ai dati critici.

Questi attacchi di "tastiera pratica" sono in genere destinati alle organizzazioni anziché a un singolo dispositivo.

L'intervento umano significa anche che c'è un attore di minaccia umana usando le loro informazioni dettagliate su errori di configurazione comuni del sistema e della sicurezza. Hanno lo scopo di infiltrarsi nell'organizzazione, navigare nella rete e adattarsi all'ambiente e alle sue debolezze.

Le caratteristiche distintive di questi attacchi ransomware gestiti da persone in genere includono furto di credenziali e spostamento laterale con un'elevazione dei privilegi negli account rubati.

Le attività possono essere eseguite durante le finestre di manutenzione e comportano lacune di configurazione della sicurezza individuate dai criminali informatici. L'obiettivo è la distribuzione di un payload ransomware a qualsiasi risorsa ad alto impatto aziendale scelto dagli attori delle minacce.

Importante

Questi attacchi possono essere irreversibili per le operazioni aziendali e sono difficili da pulire, richiedendo una rimozione completa degli avversari per proteggersi da attacchi futuri. A differenza del ransomware di materie prime che di solito richiede solo correzione malware, ransomware gestito dall'uomo continuerà a minacciare le operazioni aziendali dopo l'incontro iniziale.

L'impatto e la probabilità che gli attacchi ransomware gestiti da persone continueranno a crescere

Protezione da ransomware per l'organizzazione

In primo luogo, impedire il recapito di phishing e malware con Microsoft Defender per Office 365 per proteggersi da malware e recapito di phishing, Microsoft Defender per endpoint per rilevare e bloccare automaticamente le attività sospette nei dispositivi e Microsoft Defender XDR per rilevare malware e tentativi di phishing in anticipo.

Per una panoramica completa di ransomware ed estorsione e di come proteggere l'organizzazione, fare riferimento alle informazioni nella presentazione di PowerPoint relativa al piano del progetto di mitigazione dei ransomware gestiti dall'uomo.

Seguire l'approccio di Microsoft Incident Response alla prevenzione e alla mitigazione dei ransomware.

  1. Valutare la situazione analizzando l'attività sospetta che ha avvisato il team dell'attacco.

  2. Qual è l'ora o la data in cui si è appreso per la prima volta l'evento imprevisto? Quali log sono disponibili e indica che l'attore sta attualmente accedendo ai sistemi?

  3. Identificare le applicazioni line-of-business interessate e ottenere tutti i sistemi interessati online. L'applicazione interessata richiede un'identità che potrebbe essere stata compromessa?

  4. I backup dell'applicazione, della configurazione e dei dati sono disponibili e verificati regolarmente usando un esercizio di ripristino?

  5. Determinare il processo di ripristino di compromissione (CR) per rimuovere l'attore di minaccia dall'ambiente.

Di seguito è riportato un riepilogo delle linee guida del piano di mitigazione ransomware gestito da microsoft:

Diagramma che mostra il riepilogo delle linee guida relative al piano del progetto di mitigazione dei ransomware gestiti da persone

  • La posta in gioco in caso di ransomware e attacchi basati su estorsione è alta.
  • Gli attacchi, tuttavia, presentano punti deboli che possono ridurre la probabilità di essere attaccati.
  • Esistono tre passaggi per configurare l'infrastruttura per sfruttare i punti deboli degli attacchi.

Per i tre passaggi per sfruttare i punti deboli degli attacchi, vedere la soluzione Proteggere l'organizzazione da ransomware ed estorsione per configurare rapidamente l'infrastruttura IT per la migliore protezione:

  1. Preparare l'organizzazione al recupero da un attacco senza pagamento del riscatto.
  2. Limitare l'ambito dei danni di un attacco ransomware proteggendo i ruoli con privilegi.
  3. Rendere più difficile per un attore di minaccia accedere all'ambiente rimuovendo in modo incrementale i rischi.

I tre passaggi per la protezione contro ransomware ed estorsione

Scaricare il poster Proteggi l'organizzazione da ransomware per una panoramica delle tre fasi come livelli di protezione dagli attacchi ransomware.

Poster

Risorse aggiuntive di prevenzione ransomware

Informazioni chiave di Microsoft:

Microsoft Defender XDR:

app Microsoft Defender per il cloud:

Microsoft Azure:

Microsoft Copilot for Security:

Le strategie di mitigazione ransomware chiave OpenAI, nelle parole di ChatGPT, includono:

  1. Cura dei dati di training

  2. Livelli e filtri di sicurezza

  3. Test empirici e raggruppamento rosso

  4. Monitoraggio continuo

  5. Ricerca di allineamento e sicurezza

  6. Creazione di report e commenti e suggerimenti della community

  7. Partnership e politiche

Per informazioni più dettagliate, vedere la documentazione ufficiale di OpenAI sull'approccio alla sicurezza e all'uso improprio dell'intelligenza artificiale.

Risorse di mitigazione ransomware di Microsoft Security:

Vedere l'elenco più recente degli articoli ransomware nel blog sulla sicurezza Microsoft.