I ransomware sono estremamente remunerativi per i cybercriminali e difficilmente spariranno dal panorama delle minacce informatiche nel breve periodo. Il rilevamento veloce e accurato, che al momento è possibile solo con approcci di detection and response basati sull’AI, è l’alleato migliore su cui gli stakeholder aziendali possono contare in questa battaglia.

È questa l'opinione di Massimiliano Galvagna, Country Manager Italia di Vectra AI, che allerta non solo contro gli attacchi tipici che seguono il modello "spray and pray", ma soprattutto sui cosiddetti RansomOps.

Sono più sofisticati degli attacchi tradizionali, sono altamente mirati e spesso attribuiti ad attaccanti sponsorizzati da stati-nazione. In realtà identificano un modus operandi di attaccanti interessati a massimizzare l’impatto finanziario su un target specifico. È un tipo di minaccia che ha colpito anche in Italia, finora per lo più strutture sanitarie.

Dalla violazione all'attacco

A contribuire alla diffusione degli attacchi è il meccanismo già spiegato più volte del mercato nero delle credenziali. La violazione in sé può essere esternalizzata o acquistata già pronta sul dark web per meno di 300 dollari – fa notare Galvagna. Il flusso decisionale quindi parte con la valutazione del potenziale guadagno che si può trarre dalla vittima, quindi grazie alle credenziali si accede nel perimetro dell’obiettivo, ai movimenti laterali e all'individuazione di applicazioni e dati da cifrare.

È per questo motivo che Hemen Vimadalal, CEO di 1Kosmos, in un recente incontro con la stampa ha ammonito circa il fatto che il problema più grande con il ransomware non è la crittografia, ma le credenziali. La sua osservazione parte dal fatto che tutti manifestano preoccupazioni sulla fase post-attacco: costi, riscatti, perdita di guadagni, impatto reputazionale, eccetera.

Invece tutti dovrebbero occuparsi del pre-attacco. Ossia di adottare misure preventive, che partono dalle soluzioni per la protezione degli account e passano poi allo step successivo delle piattaforme di detection e response di ultima generazione.

La prevenzione

Sul primo aspetto, Galvagna fa notare che solide politiche di gestione delle identità consistono nel fare in modo che solo una cerchia selezionata di persone abbia accesso alle aree più sensibili dell’infrastruttura IT. Una corretta gestione consente di circoscrivere l'azione dei cyber criminali all'applicazione che gli ha permesso di penetrare nel sistema. Inoltre, se è in atto uno stretto monitoraggio dell'attività degli account con privilegi elevati, il team di sicurezza può agire più velocemente nel bloccare l'infezione.

Galvagna sottolinea anche che il rilevamento tempestivo è la chiave per mitigare i danni. Se gli host infetti vengono prontamente isolati, i gli esperti di sicurezza informatica possono mettersi al lavoro per neutralizzare i processi che innescano la replicazione.

Questa è una fase che non è sostenibile da un esperto informatico, che per quanto preparato non può avere la velocità di elaborazione di un computer. Dovrebbe essere affidata a strumenti automatici, deputati a supervisionare l’intera rete e ad adottare azioni automatiche efficaci nel prevenire danni e perdite.

La strategia vincente non è perdersi nella ricerca delle possibili varianti malware, ma rilevare le più piccole variazioni nei comportamenti. Così facendo si possono smascherare le attività di ricognizione e penetrazione da parte degli attaccanti, prima che l'effettivo attacco venga sferrato.

Il migliore strumento da adottare è quindi quello di Detection and Response basato sull’AI, che implementi una strategia comportamentale di alto livello.

Gli strumenti che adottano questo approccio avviano un'analisi approfondita del traffico di rete e hanno l’abilità di tracciare l’attività dell’attaccante che si sposta tra on-premise, data center e ambienti IaaS e SaaS. I modelli di machine learning stanno già integrando l’expertise dei team di sicurezza, producendo validi risultati. Soltanto modelli come questi hanno la portata e il potere di elaborare alti volumi di telemetria e compararli in tempo reale con una mole infinita di dati storici per identificare attività rischiose.