Perché simulare Ransomware?

Perché simulare Ransomware?

La Organizzazione Europea per la Cybersecurity ECSO (European Cybersecurity Organization) propone il mese di maggio come il momento dell’anno per riflettere sul Ransomware.
Essendo questo tipo di malware il più attraente per i cybercriminali per l’alto rendimento economico, aspettare che compromettano la nostra organizzazione è troppo rischioso e persino irresponsabile.
Ci sono molti modi per prevenire, o meglio dire, per gestire un attacco Ransomware, già noti: aggiornare la strategia di backup, definire una chiara politica di aggiornamenti di sicurezza, rafforzare la difesa perimetrale, inclusa la protezione delle caselle email, e investire nel fattore umano tramite programmi di sensibilizzazione. Infatti, la guida OWASP per evitare infezioni da Ransomware descrive una lista di 22 procedure per gestire questo tipo di infezioni. Tuttavia, ciascuna di queste misure deve essere testata in anticipo per verificare che funzioni correttamente, ad esempio:

  • Effettuare un test di ripristino dei backup.
  • Verificare che i sistemi siano aggiornati all’ultima versione.
  • Eseguire un test di penetrazione dall’esterno dell’organizzazione.
  • Assicurarsi che i sistemi operino con privilegi minimi.
  • Testare gli antivirus con un Ransomware recente (lo fai?).
  • Valutare il comportamento degli utenti, ovvero conoscere le loro abitudini di fronte a potenziali attacchi Ransomware.

Questo articolo si concentra proprio su quest’ultimo punto. In generale, tutte le altre misure vengono messe alla prova solo in scenari reali quando un utente commette una negligenza che mette a rischio l’organizzazione.

Come entra il Ransomware in un’organizzazione?

Cercando su Internet i metodi utilizzati dai cybercriminali per introdurre Ransomware nelle organizzazioni, troveremo risposte vaghe, anche nei casi più noti come Wannacry. In quel caso non si sa con certezza cosa sia successo, ma le tre ipotesi principali sono:

  • Una classica campagna di social engineering via email.
  • Dispositivi esposti tramite SMB (porta 445) direttamente su Internet.
  • USB o esecuzione diretta di un file binario dannoso.

Anche per altri casi, le analisi suggeriscono che il Ransomware fosse già all’interno dell’organizzazione e che si sia diffuso sfruttando una vulnerabilità specifica della rete aziendale. È interessante notare che si approfondisce questo aspetto piuttosto che il motivo per cui ha superato le barriere di protezione.

Wannacry è un caso emblematico. Mi ricordo di aver pensato: “Perché un’organizzazione così grande dovrebbe esporre una porta SMB a Internet?”. La risposta ufficiale non è mai arrivata, ma nemmeno è stato smentito che quella porta fosse accessibile.

Ci sono stati anche altri attacchi remoti sfruttando vulnerabilità nei software di accesso remoto (come RDP). Tuttavia, anche qui, le risposte trovate sono evasive e si concentrano sulla diffusione interna del malware.

Quindi, sebbene gli attacchi remoti siano possibili, non si può affermare con certezza che sia il metodo principale di ingresso del Ransomware.
I due metodi più comuni restano gli attacchi diretti agli utenti finali, sia via email che tramite USB infetti. Se ci chiediamo quale sia il motivo principale per cui questi attacchi sono così efficaci, è semplice:

  • Social engineering via email.
  • Attacco a una porta vulnerabile esposta.
  • Infezione tramite USB.

Ora, se fossimo noi i cybercriminali, quale metodo useremmo?:

  • Uno che non richiede grandi competenze e si diffonde facilmente.
  • Uno che richiede competenze tecniche avanzate e può essere applicato solo a organizzazioni vulnerabili.
  • Uno che richiede presenza fisica sul posto.

La risposta appare ovvia.

Come prevenire un’infezione da Ransomware?

Questa domanda di solito riceve risposte vaghe, con un’attenzione maggiore a cosa fare dopo l’infezione. Le misure preventive più comuni sono:

  • Aggiornare i sistemi.
  • Utilizzare software antimalware.
  • Operare con privilegi minimi.
  • Proteggere il perimetro di rete.
  • Proteggere le email.
  • Sensibilizzare gli utenti.

Nonostante le prime cinque misure siano tecniche e conosciute, la sensibilizzazione degli utenti riceve ancora poca attenzione.

Se il vettore principale di attacco è l’utente, perché non investire nella sua formazione?

Fortunatamente, questo sta cambiando. Oggi è chiaro che la tecnologia da sola non basta. La sicurezza a più livelli è fondamentale e gli utenti restano uno dei principali obiettivi per i cybercriminali.

Perché simulare un attacco Ransomware?

Molti responsabili della cybersecurity o IT cercano piattaforme di simulazione di Phishing o Ransomware con l’obiettivo principale di misurare il comportamento degli utenti di fronte a possibili attacchi, e così conoscere il livello di rischio dell’organizzazione.
Perché sottolineiamo questo punto? Principalmente, perché se vogliamo sapere come si comporterebbero i nostri utenti di fronte a un attacco reale, dobbiamo assicurarci che le trappole simulate si comportino come se fossero vere.

Come funziona un attacco Ransomware simulato?

Le simulazioni di Ransomware (simulated Ransomware attack) dovrebbero essere una pratica svolta mensilmente in qualsiasi organizzazione, per l’impatto e l’alta probabilità che questo rischio comporta.

Una simulazione di attacco Ransomware, a differenza di un attacco tradizionale di Phishing, non cerca di misurare la negligenza di un utente nel fornire informazioni sensibili, ma se questo avrebbe un comportamento rischioso nel scaricare e aprire file.
Entrambi i tipi di simulazione iniziano con un attacco di ingegneria sociale, supportato da strumenti che confondono l’utente (spoofing e certificati SSL validi). La differenza risiede nella parte finale, dove si dimostra se l’utente potrebbe essere stato il vettore che ha permesso al Ransomware di entrare nell’organizzazione.

In una simulazione di Ransomware non c’è infezione, ma si misurano solo le abitudini degli utenti. Il file eseguito è innocuo e l’utente riceve un messaggio educativo che gli permette di comprendere il pericolo evitato.

Quindi, perché simulare un attacco Ransomware?

  • Perché è l’attacco più utilizzato dai cybercriminali, in tutte le sue forme, poiché è il più redditizio.
  • Perché gli attacchi Ransomware stanno crescendo enormemente e le condizioni sono favorevoli affinché continuino a verificarsi.
  • Perché l’utente è uno dei vettori di attacco preferiti.
  • Perché se non stai simulando attacchi Ransomware, non stai gestendo questo rischio.
  • Perché non sai da dove entrerà il prossimo Ransomware.

Tutto questo non deve essere travolgente. Piattaforme di sensibilizzazione sulla sicurezza informatica come SMARTFENSE offrono simulazioni integrate di Ransomware pronte all’uso.
Inoltre, i partner specializzati in cybersecurity possono accompagnare questi processi organizzativi con strumenti, report e servizi specializzati, facilitando il lavoro dei CISO e dei responsabili di area.

Non ci sono più scuse.

Tag Articolo :

Mauro Graziosi

Experto en Seguridad de la Información, fundador y CEO de SMARTFENSE. Cuenta con 20 años de trayectoria en ciberseguridad. A lo largo de su carrera profesional generó diferentes proyectos enfocados siempre en la ciberseguridad y la educación a distancia. En 2016 fundó SMARTFENSE con la misión de satisfacer los requisitos y urgencias de los CISOs de Iberoamérica, obteniendo el Primer Premio del programa Cybersecurity Ventures 2018 del INCIBE. Su objetivo personal es convertir a los usuarios en un componente clave de la estrategia de ciberseguridad de las organizaciones a través de la concienciación.

Lascia un commento