Il rapido cambiamento nei comportamenti dei cybercriminali e la diffusione del lavoro da remoto richiedono una sicurezza sempre più predittiva e multilivello

Milano — Agosto 4, 2020 —

Sophos, leader globale nella sicurezza informatica di ultima generazione, ha pubblicato oggi sul blog dei suoi SophosLabs una ricerca in più parti che fa il punto sul ransomware, analizzando le nuove tecniche anti-rilevamento tipiche degli attacchi WastedLocker che utilizzano il memory-mapped I/O per criptare i file.

Un articolo integrativo approfondisce gli aspetti legati alla messa a punto di strategie sempre più avanzate per eludere i sistemi di sicurezza, fornendo un’analisi svolta su più mesi e relativa a come i cybercriminali abbiano saputo sviluppare e far evolvere le loro tattiche e procedure (TTPs) dall’attacco ransomware Snatch del dicembre 2019.

Nella serie di articoli messa a punto dai ricercatori di Sophos vengono inoltre condivisi i 5 segnali di allarme che indicano che l’azienda sta per essere colpita dal ransomware e viene spiegato perché tali attacchi continuino a riproporsi.

“La verità è che il ransomware non sta affatto scomparendo: in Sophos abbiamo visto gang come quelle responsabili di WastedLocker portare a un livello superiore le loro tecniche di elusione e trovare sempre nuovi metodi per bypassare gli strumenti anti-ransomware basati sull’analisi comportamentale. 
Si tratta di una nuova tipologia di criminali che si sporcano le mani, utilizzando nuove tecniche per disabilitare manualmente il software come mossa anticipatoria a un attacco ransomware in piena regola. Anche altre azioni, come ad esempio l’esfiltrazione di dati e la disabilitazione dei backup sono precursori di questo genere di attacco. Più a lungo i cybercriminali riescono a restare all’interno della rete, più danni potranno causare” ha commentato Chester Wisniewski, principal research scientist di Sophos. “Per tutte queste ragioni, l’intelligenza umana e la capacità di reazione sono componenti chiave per rilevare e neutralizzare i segnali preliminari di un attacco. Le aziende devono conoscere i trend in crescita e devono rafforzare il proprio perimetro disabilitando gli strumenti di accesso da remoto come quelli di Remote Desktop Control al fine di prevenire l’accesso indesiderato alla rete, che rappresenta il comune denominatore di molti attacchi ransomware presi in esame da Sophos.”

La combinazione di cambiamenti nei comportamenti dei cybercriminali e ambienti di lavoro sempre più ibridi e caratterizzati da un crescente ricorso al remote working a causa dell’emergenza COVID19, rende necessario che le aziende mettano la sicurezza IT al primo posto. Sarà altresì fondamentale implementare soluzioni di sicurezza predittive, in grado cioè di anticipare avversari in costante evoluzione, pronti a cogliere tutte le opportunità offerte da un perimetro aziendale in costante ampliamento e con confini sempre più labili.

La ricerca in più parti messa a punto da Sophos include:

  • Il vero volto del ransomware: l’estorsione diventa social
  • Le tecniche di WastedLocker frutto di un retaggio conosciuto
  • Corsa agli armamenti del ransomware: sempre più incentrata sull’elusione dei sistemi di sicurezza
  • 5 indizi che l’azienda sta per essere vittima di un attacco ransomware
  • Ransomware: perché non è solo una moda passeggera

Consigli per una difesa efficace:

  • Disabilitare qualunque strumento di RDP per negare l’accesso alla rete ai malintenzionati
  • Se si rende necessario un accesso RDP, implementarlo attraverso una connessione VPN
  • Mettere a punto un sistema di sicurezza multilivello per prevenire, proteggere e rilevare i cyberattacchi che includa funzionalità EDR e team di managed response che monitorino il network 24 ore su 24, 7 giorni su 7
  • Conoscere e tenere d’occhio i 5 segnali che preannunciano l’attacco in modo da poterlo bloccare tempestivamente

Questa ricerca è stata messa a punto dai ricercatori dei SophosLabs e del Sophos Managed Threat Response team. Per ulteriori informazioni, consultare: 
https://news.sophos.com/en-us/category/sophoslabs/sophoslabs-uncut/

Maggiori informazioni

Informazioni su Sophos

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, tra cui servizi MDR (Managed Detection and Response) e incident response, mette a disposizione delle aziende un’ampia gamma di soluzioni di sicurezza per endpoint, network, email e cloud al fine di supportarle nella lotta ai cyber attacchi. In quanto uno dei principali provider di cybersecurity, Sophos protegge oltre 600.000 realtà e più di 100 milioni di utenti a livello globale da potenziali minacce, ransomware, phishing, malware e altro. I servizi e le soluzioni di Sophos vengono gestiti attraverso la console Sophos Central, basata su cloud, e si incentra su Sophos X-Ops, l'unità di threat intelligence cross-domain dell'azienda. Sophos X-Ops ottimizza l’intero ecosistema adattivo di cybersecurity di Sophos, che include un data lake centralizzato, che si avvale di una ricca serie di API aperti, resi disponibili ai clienti, ai partner, agli sviluppatori e ad altri fornitori di cyber security e information technology. Sophos fornisce cybersecurity as a service alle aziende che necessitano di soluzioni chiavi in mano interamente gestite. I clienti possono scegliere di gestire la propria cybersecurity direttamente con la piattaforma di Sophos per le operazioni di sicurezza o di adottare un approccio ibrido, integrando i propri servizi con quelli di Sophos, come il threat hunting e la remediation. Sophos distribuisce i propri prodotti attraverso partner e fornitori di servizi gestiti (MSP) in tutto il mondo. Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.