HOR differisce dal ransomware tradizionale in quanto prende di mira i punti deboli specifici del tuo sistema che vengono scoperti manualmente dagli esseri umani. Un esempio è l’utilizzo di un servizio con privilegi elevati nel proprio ambiente. Microsoft afferma che l’HOR implica il coinvolgimento umano in ogni fase dell’attacco e che i difetti di sistema o l’errore umano possono essere sfruttati per elevare i privilegi, ottenere l’accesso a dati più sensibili e, in definitiva, guadagnare un compenso maggiore. Ciò che rende HOR ancora più pericoloso è che gli aggressori di solito non lasciano la rete anche dopo aver pagato. Continuano a provare a monetizzare il loro accesso distribuendo nuovo malware fino a quando non vengono completamente ripuliti.
Microsoft ha sottolineato che RaaS ha recentemente iniziato a gravitare verso un modello di doppia estorsione, in cui i tuoi dati non sono solo crittografati, ma gli aggressori minacciano anche di renderli pubblici fino a quando non li paghi. L’azienda ha anche osservato che le campagne HOR in genere sfruttano le configurazioni legacy e le configurazioni errate, nonché la scarsa igiene delle credenziali, per elevare i propri privilegi. Pertanto, gli esperti di sicurezza nelle organizzazioni devono passare a un modello zero trust in cui non solo cercano singoli avvisi, ma hanno anche una visione olistica dell’intero comportamento di sicurezza e degli incidenti.
Microsoft ha inoltre avvisato le organizzazioni del modello di partner RaaS descritto di seguito:
In passato, abbiamo osservato una stretta relazione tra il vettore di penetrazione iniziale, gli strumenti e la selezione del payload del ransomware in ogni campagna di un singolo ceppo di ransomware. Il modello di partner RaaS, che consente a più criminali, indipendentemente dalle competenze tecniche, di distribuire ransomware creato o gestito da qualcun altro indebolisce questo collegamento. Man mano che la distribuzione del ransomware diventa un’economia, diventa sempre più difficile attribuire l’abilità utilizzata in un particolare attacco agli sviluppatori di payload di ransomware.
[…] RaaS è un accordo tra un operatore e un affiliato. L’operatore RaaS sviluppa e mantiene strumenti per supportare le operazioni di ransomware, inclusi linker che generano payload di ransomware e portali di pagamento per connettersi con le vittime.
[…] In questo modo, RaaS crea un unico tipo di payload o campagna, che è un’unica famiglia di ransomware o un insieme di aggressori. Ciò che accade, tuttavia, è che l’operatore RaaS vende l’accesso al payload del ransomware e al decryptor a un affiliato che esegue l’intrusione e l’escalation dei privilegi ed è responsabile della distribuzione del payload del ransomware effettivo. Le parti poi si dividono i profitti. Inoltre, gli sviluppatori e gli operatori RaaS possono anche utilizzare il payload a scopo di lucro, venderlo ed eseguire le loro campagne con altri payload di ransomware, il che confonde ulteriormente la situazione quando si tratta di rintracciare i criminali dietro queste attività.
Per combattere queste minacce crescenti e sofisticate , Microsoft consiglia alle organizzazioni di passare a un modello zero-trust, creare l’igiene delle credenziali, controllare l’esposizione delle credenziali, rafforzare nel cloud, dare priorità alla distribuzione degli aggiornamenti di Active Directory, ridurre la superficie di attacco, mitigare i punti ciechi della sicurezza, e rafforzare i perimetri, in particolare le risorse rivolte a Internet. Infine, ha anche incoraggiato i clienti a utilizzare Microsoft 365 Defender Unified Investigation e la visibilità tra domini per rilevare e rispondere in modo proattivo alle minacce. Microsoft prevede di parlare di più di questa direzione all’evento digitale del Microsoft Conference Security Summit il 12 maggio, puoi registrarti qui .
Lascia un commento