Ransomware. Una parola che può far rabbrividire chiunque, dai vertici aziendali agli utenti privati. A volte è difficile farsi un’idea dell’intero settore dei ransomware (e sì, ora è un settore). Tuttavia, in base alle analisi aneddotiche dei forum e dei social media, sembra che gli attacchi contro i singoli individui stiano rallentando ed è quindi possibile che gli aggressori si siano resi conto che puntare su obiettivi “unici” non sia il miglior piano commerciale. Infatti, in un recente seminario online di Microsoft Secure (è necessaria la registrazione), Jessica Payne e Geoff McDonald discutono di come il ransomware sia ormai un grande business, offerto come servizio da chi vende ad altri l’accesso alle reti compromesse.

Quando gli aggressori si accaniscono su bersagli famosi, spesso creano una cattiva pubblicità per l’industria del ransomware, che per questo motivo si sta coordinando per evitare i titoli dei giornali che potrebbero indurre i fornitori e i provider a rafforzare la sicurezza, gli utenti finali a applicare le patch e le aziende a implementare soluzioni di sicurezza più efficaci.

Inoltre, gli aggressori stanno prendendo di mira i risultati delle ricerche per ottenere le informazioni di cui i team IT hanno bisogno per svolgere il loro lavoro. Un risultato di ricerca potrebbe, ad esempio, indirizzare gli amministratori verso uno strumento dannoso che li induce a installare una potenziale backdoor. Tale accesso viene poi venduto sul mercato nero. Sebbene le aziende stiano facendo un lavoro migliore per quanto riguarda le patch dei sistemi operativi e delle suite Office, fanno ancora troppo affidamento sul fatto che gli utenti finali siano sufficientemente attenti. Se gli utenti non sono almeno un po’ paranoici, ovvero si fermano a riflettere prima di cliccare su link di phishing, le reti rimangono vulnerabili.

Il ransomware può entrare nei sistemi anche a causa di configurazioni errate della sicurezza o di vulnerabilità trascurate. Payne ha fornito ulteriori informazioni in un post del 2022 dal titolo Ransomware as a Service. Le regole dell’Attack Surface Reduction (ASR) rimangono un insieme di strumenti che molte aziende non sfruttano. In realtà questo set di regole può essere attivato nelle versioni Professional di Windows 10 e 11 per incrementare la capacità di Windows di bloccare gli aggressori.

ransomware-fatebenefratelli-sacco-lombardia

Anche se non siete clienti di Microsoft 365 Defender, potete implementare le regole ASR specifiche che mirano ai processi ransomware:

  • Bloccare l’esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile
  • Bloccare il furto di credenziali dal sottosistema dell’autorità di sicurezza locale di Windows (lsass.exe)
  • Bloccare la creazione di processi provenienti da comandi PsExec e WMI
  • Utilizzare una protezione avanzata contro il ransomware.

Le regole ASR, che di solito non causano effetti collaterali al normale funzionamento del PC, possono essere impostate per “controllare” i sistemi piuttosto che imporre restrizioni. Questo è un modo per verificare l’impatto su una rete. Inoltre, Microsoft ha apportato delle modifiche a Office per rallentare la diffusione del ransomware. Una recente modifica riguarda le macro VBA. Come ha sottolineato Microsoft, “le macro VBA sono un modo comune per gli attori malintenzionati di ottenere l’accesso per distribuire malware e ransomware. Pertanto, per contribuire a migliorare la sicurezza di Office, Microsoft sta modificando il comportamento predefinito delle applicazioni di Office per bloccare le macro nei file provenienti da Internet. Con questa modifica, quando gli utenti aprono un file proveniente da Internet, ad esempio un allegato di un’e-mail, e tale file contiene macro, verrà visualizzato un avviso rosso nella parte superiore del file aperto”.

Gli utenti devono identificare i file di cui hanno bisogno per il lavoro e assicurarsi che non siano più considerati sospetti e che siano contrassegnati come affidabili (potete consultare questa guida per assicurarvi di non bloccare i file di cui avete bisogno). Come si legge nella presentazione, “QakBot ed Emotet si sono entrambi basati pesantemente su macro dannose per l’accesso iniziale. Ma dopo che Microsoft ha disabilitato le macro a livello globale, sono passati ad altre tecniche, come l’utilizzo di link diretti ai payload e alle e-mail di phishing o l’inserimento di allegati di OneNote a tali e-mail di phishing”.

Questo mese, inoltre, OneNote su Windows sarà dotato di protezioni aggiuntive per gli utenti che aprono o scaricano un file incorporato in OneNote. Gli utenti riceveranno una notifica dei file considerati pericolosi, una modifica pensata per migliorare l’esperienza di protezione dei file in OneNote. È chiaro che Microsoft sta cercando di stare un passo avanti agli aggressori.

Alcuni operatori di ransomware stanno inoltre passando all’estorsione. Dimostrando a un’azienda di poter distruggerne i dati sia in sede, sia nel cloud (senza poi farlo davvero), gli aggressori possono ottenere un compenso senza infliggere danni. Anche per affrontare questa ennesima minaccia, Microsoft ha organizzato un evento di follow-up dall’11 al 13 aprile per approfondire gli argomenti trattati nel corso di Microsoft Secure. Per ulteriori risorse e informazioni, l’organizzazione SANS offre un Ransomware Summit gratuito di un giorno, il 23 giugno, per discutere i vettori di accesso iniziali e le tecniche di difesa.