Economia e tattiche degli attori delle minacce ransomware moderne: un’analisi approfondita
Nel panorama della cybersecurity, gli incidenti ransomware sono diventati una realtà inevitabile per le organizzazioni. L’esempio della violazione dei dati di MGM Resorts ne illustra le conseguenze finanziarie, legali e operative devastanti. In questo articolo, esploreremo le tattiche e le strategie impiegate dai gruppi di attori delle minacce ransomware moderni, come ALPHV/BlackCat e Scattered Spider, e analizzeremo le motivazioni che guidano queste attività criminali organizzate.
Motivazioni degli attori delle minacce ransomware
Il guadagno finanziario è il principale motivo che spinge i gruppi di attori delle minacce ransomware a condurre attività criminali organizzate. Alcuni di questi gruppi operano in modo indipendente, mentre altri sono supportati da sindacati del crimine organizzato più ampi, come dimostrato dall’incidente di violazione dei dati di MGM Resorts. L’allure di ingenti guadagni finanziari incentiva questi gruppi a investire nella loro attività, con campagne di phishing che costano solo pochi dollari per account compromesso.
Tuttavia, gli attori delle minacce ransomware stanno modificando le loro tattiche in base a ciò che fornisce loro un pagamento più affidabile di estorsione o riscatto. Sebbene i pagamenti dei riscatti dopo gli attacchi ransomware siano ancora una fonte di reddito per gli attori delle minacce ransomware, questa via ha subito un calo significativo a causa degli sforzi delle compagnie di assicurazione e degli standard di conformità che costringono le aziende a modernizzare i loro requisiti e procedure di continuità aziendale.
Tattiche degli attori delle minacce ransomware
Gli attori delle minacce ransomware stanno adottando nuove tattiche per bypassare le soluzioni di cybersecurity moderne. Ad esempio, gruppi altamente coordinati come ALPHV/BlackCat e Scattered Spider stanno prendendo di mira l’infrastruttura invece degli endpoint durante le risposte agli incidenti per eludere gli investimenti nelle soluzioni di rilevamento e risposta alle minacce degli endpoint (EDR).
Inoltre, gli attori delle minacce ransomware stanno utilizzando tecniche più vecchie con risorse aggiuntive e approcci innovativi. Ad esempio, stanno sfruttando abbonamenti AI a pagamento per creare campagne di phishing più realistiche e utilizzando servizi legittimi come chatbot e altri strumenti AI pubblicamente disponibili per aggirare la formazione sulla consapevolezza della sicurezza tradizionale, che ancora istruisce i dipendenti a cercare errori di ortografia e grammatica e una mancanza di localizzazione come supporto linguistico non inglese.
Protezione dalle minacce ransomware
Per proteggersi dalle minacce ransomware, le organizzazioni dovrebbero adottare misure proattive. Ecco sette suggerimenti per aiutare le organizzazioni a proteggersi e difendersi dalle minacce ransomware:
- Implementare il monitoraggio 24/7 dell’ambiente. Per le organizzazioni che faticano a trovare risorse, un MSSP può essere d’aiuto.
- Monitorare le modifiche alle impostazioni MFA di un utente.
- Eliminare l’SMS come fattore MFA, se non per l’intera organizzazione, in particolare per gli utenti amministrativi.
- Rivedere e aggiornare le procedure del servizio di assistenza. Ad esempio, perché il servizio di assistenza dovrebbe avere la capacità di reimpostare account con privilegi elevati? Tali procedure dovrebbero richiedere la partecipazione di più soggetti per validare la richiesta.
- Iscriversi a servizi di intelligence sulle minacce per il monitoraggio dei domini. Questo aiuta a identificare le istanze in cui gli indirizzi e-mail aziendali vengono utilizzati su siti esterni o personali.
- Capire che i team Accounts Payable e HR sono sotto costante attacco a causa della loro gestione di dati sensibili e della necessità di aprire tutte le allegate e assistere i clienti con i pagamenti. Monitorare attentamente i loro account e l’accesso per segni di compromissione.
- Sviluppare e implementare procedure per il furto di account e dispositivi. Avere una procedura adeguata per il ripristino dell’account e la cancellazione del dispositivo è essenziale.
Implementando queste misure, le organizzazioni possono rafforzare la loro postura di cybersecurity e ridurre il rischio di subire attacchi ransomware.
