Il ransomware as-a-service è sempre più diffuso e gli attacchi possono essere difficili da individuare e contenere.
Fortunatamente esistono approcci collaudati su cui si basa la maggior parte degli aggressori, come la scansione, il download del malware e il movimento laterale, che possono far scattare un campanello di allarme, offrendo ai team di sicurezza diverse opportunità per rilevare, contenere e mitigare gli incidenti ransomware.
È quanto emerge da una nuova ricerca pubblicata da Barracuda Networks, secondo la quale il movimento laterale costituisce il segno più evidente di un attacco ransomware in corso, poiché ha permesso di individuare poco meno della metà (44%) degli incidenti.
Il movimento laterale è una tecnica utilizzata dall’attaccante, il quale una volta penetrato nel perimetro di sicurezza espande il controllo su altre risorse della rete, muovendosi lateralmente tra i diversi sistemi e server connessi.
Sanità, manifatturiero e aziende tecnologiche, i settori più colpiti
Per realizzare la ricerca, i ricercatori di Barracuda hanno analizzato un campione di 200 incidenti segnalati tra agosto 2023 e luglio 2024, che hanno coinvolto 37 Paesi e 36 diversi gruppi di ransomware.
Secondo i risultati dell'indagine, il 21% degli incidenti ha colpito le organizzazioni sanitarie, in aumento rispetto al 18% di un anno fa, mentre il 15% degli attacchi riportati ha riguardato il settore manifatturiero e il 13% le aziende tecnologiche.
Al contrario, l’incidenza nel settore dell'istruzione si è dimezzata rispetto al 18% dello scorso anno, attestandosi al 9% nel periodo 2023-2024.
Non solo movimenti laterali
Tra i principali indicatori di una probabile attività ransomware, oltre ai movimenti laterali (44%), i dati di rilevamento di Barracuda Managed XDR Endpoint Security, nei primi sei mesi del 2024, hanno evidenziato anche:
- Modifiche ai file, un quarto (25%) dei tentativi di aggressione è stato rilevato quando gli hacker hanno iniziato a scrivere sui file o modificarli
- Comportamenti anomali, il 14% scoperti per via di comportamenti che non corrispondevano agli schemi di attività noti.
- Comportamenti curiosi, interessante lo studio di due casi di attacchi lanciati dai gruppi ransomware 8Base e PLAY che ha illustrato come gli aggressori prendano di mira dispositivi non protetti e nascondano i file malevoli in cartelle contenenti video e musica utilizzate di rado.
Difesa a multilivello
È fondamentale implementare più livelli di rilevamento per combattere le minacce attive come il ransomware, in cui gli aggressori spesso sfruttano strumenti disponibili in commercio utilizzati legittimamente dai team IT.
Per questo motivo, gli esperti di Barracuda raccomandano l'adozione di difese multilivello potenziate dall'intelligenza artificiale, che sono fondamentali per individuare e respingere gli attacchi avanzati nonché contenerne e ridurne al minimo l'impatto.