Il DHS USA interviene per bloccare il ransomware

Il DHS USA interviene per bloccare il ransomware

Il DHS USA interviene per bloccare il ransomware

Negli USA, dopo che per mesi numerose città, ospedali, grandi organizzazioni hanno subito gravi attacchi ransomware, si è mosso anche il DHS (Department of Homeland Security), allertando tutti sul crescente rischio di subire infezioni malware con richiesta di riscatto.

Negli ultimi mesi, infatti, si è assistito a una vera e propria epidemia da ransomware: a inizio agosto, 20 enti governativi locali in Texas sono stati colpiti da un attacco coordinato. La città di Baltimora per oltre un mese si è trovata nella condizione di non riuscire a fornire tutta una serie di servizi pubblici (il supporto clienti dei lavori pubblici, i pagamenti per i parcheggi, le informazioni relative alle multe, i pagamenti dell’acqua e altro).  In aggiunta, gli importi chiesti per il riscatto di dati e sistemi ICT sono cresciuti: nel settore sanitario ad esempio molte delle richieste hanno superato 1 milione di dollari, da pagare in bitcoin.

Gli hacker chiedono oggi riscatti per milioni di dollari

La città di New Bedford (nello stato del Massachusetts) è stata colpita a luglio da un ransomware (il malware Ryuk, tristemente noto anche in Italia, dove lo scorso giugno ha portato al blocco dei sistemi della Bonfiglioli Riduttori, che ha evitato però di pagare il riscatto) con una richiesta iniziale per 5,3 milioni di dollari. Fortunatamente, l’attacco è avvenuto in un momento in cui tutti i PC erano spenti, per cui la diffusione attraverso la rete aziendale è stata limitata (sono stati colpiti solo il 4% dei 3.500 computer della città). Le autorità locali erano all’inizio contrarie a contattare gli hacker, ma in seguito, il sindaco John Mitchell, dopo essersi informato su quanto fatto da altre città, ha offerto agli hacker un pagamento molto inferiore (pari a 400mila dollari), una cifra che tra l’altro sarebbe stata anche rimborsata dall’assicurazione. Negli USA le assicurazioni coprono infatti i pagamenti per i riscatti, nonostante questo comportamento sia stato fortemente sconsigliati dalle autorità (in questo modo si va infatti ad alimentare ulteriormente l’industria del cyber crime).

L’intervento del Department of Homeland Security USA

A inizio settembre è intervenuto quindi il DHS USA, di cui riportiamo testualmente la seguente dichiarazione: “Vi sollecitiamo a considerare le infezioni da ransomware come attacchi veri e propri, volti a distruggere i vostri sistemi e i vostri dati, non solo come eventi in cui basta pagare gli hacker per riottenere il controllo della propria rete (pensate veramente di potervi fidare di un cyber criminale?). Siamo consapevoli che non esistendo una perfetta cybersecurity, le infezioni da ransomware potranno continuare ad avvenire”.

Come proteggere quindi le organizzazioni? Il DHS ha condiviso a questo scopo una recente ricerca di FireEye (“Ransomware Protection and Containment Strategies: Practical Guidance for Endpoint Protection, Hardening, and Containment”) in cui sono elencati alcuni principi per proteggere l’azienda e contenere la diffusione del malware.

ransomware

Alcune raccomandazioni di base su come rispondere al Ransomware

Come spiegano i ricercatori di FireEye, gli hacker portano a termine gli attacchi ransomware sia manualmente, sia con propagazione automatica: nel primo caso, penetrano nelle reti e usano privilegi di livello amministratore per far girare manualmente dei programmi di encryption (cifratura) su sistemi target, sfruttando anche strumenti software presenti sui sistemi delle vittime.

Nel caso degli attacchi automatizzati, gli hacker sfruttano sempre credenziali o l’estrazione di Windows token da dischi o dalla memoria dei sistemi, per creare una “relazione di fiducia” tra i sistemi e quindi poter utilizzare metodi come Windows Management Instrumentation (WMI), SMB, o PsExec per eseguire i  payloads. Vengono anche effettuati attacchi brute-force e sfruttati sistemi senza patches di sicurezza, come BlueKeep e EternalBlue.

Scopo della ricerca FireEye è quello di fornire per gli endpoint alcuni controlli di sicurezza pratici e alcune misure di enforcement che limitano la capacità del ransomware di infiltrarsi e agire. I suggerimenti sono anche utili ad evitare un rapido propagarsi del malware in caso di infiltrazione riuscita.  “Il white paper non va considerato come una guida comprensiva di qualsiasi tattica e controllo che può essere usata contro il ransomware, ma fornisce informazioni di valore per considerare le sfide che il tema pone oggi alle aziende” chiarisce il report.  In particolar modo, sono fornite raccomandazioni tecniche relative alla mitigazione del rischio con soluzioni di:

  • Endpoint segmentation
  • Hardening in risposta ai più comuni metodi di exploitation
  • Riduzione dell’esposizione di account e servizi con privilege
  • Protezioni per Cleartext password.

Per maggiori informazioni sulla Ricerca FireEye.

ransomware fireeye