Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte e BlackCat sono i gruppi di ransomware più prolifici. Si tratta di gruppi attivi tra marzo 2021 e marzo 2022 in Stati Uniti, Gran Bretagna e Germania, dove hanno preso di mira oltre 500 organizzazioni in settori quali la produzione, lo sviluppo di software e le piccole imprese. Il team di Threat Intelligence di Kaspersky ha condotto un’analisi sulle tattiche, le tecniche e le procedure (TTP) più comuni utilizzate durante gli attacchi degli 8 gruppi. La ricerca ha rivelato che gruppi diversi condividono più della metà della catena di cyber-kill, ed eseguono le fasi principali di un attacco in modo identico.
Questo studio sul ransomware moderno serve a capire come operano i gruppi di ransomware e come difendersi dai loro attacchi.
La catena di cyber-kill
La ricerca ha analizzato il modo in cui i gruppi di ransomware impiegano le tecniche e le tattiche descritte in MITRE ATT&CK, e ha riscontrato molte somiglianze tra le loro TTP lungo tutta la catena di cyber-kill. Le modalità di attacco dei gruppi si sono rivelate piuttosto prevedibili: gli attacchi ransomware seguono uno schema che comprende la rete aziendale o il computer della vittima, la distribuzione del malware, le nuove scoperte, l’accesso alle credenziali, l’eliminazione delle copie shadow, la rimozione dei backup e il raggiungimento degli obiettivi.
È possibile rilevare le tecniche, molto più difficile prevenirle
I ricercatori spiegano anche da dove deriva la somiglianza tra gli attacchi. Ad esempio, emerge un fenomeno chiamato Ransomware-as-a-Service (RaaS), secondo il quale gruppi di ransomware non distribuiscono il malware da soli, ma forniscono solo i servizi di crittografia dei dati. Dal momento che chi distribuisce i file dannosi vuole anche semplificarsi la vita, vengono utilizzati metodi di consegna dei modelli o strumenti di automazione per ottenere l’accesso. Inoltre, il riutilizzo di strumenti vecchi e simili rende la vita più facile agli attaccanti, riducendo il tempo necessario per preparare un attacco, mentre il riutilizzo di TTP comuni facilita l‘hacking. L’installazione lenta di aggiornamenti e patch da parte delle vittime le rende poi più vulnerabili. Sebbene sia possibile rilevare tali tecniche, è molto più difficile farlo in modo preventivo.
Come vincere la gara tra ‘attaccanti’ e ‘difensori’?
La sistematizzazione dei vari TTP utilizzati dagli attaccanti ha portato alla formazione di un insieme generale di regole SIGMA in conformità con MITRE ATT&CK, che aiuta a prevenire tali attacchi.
“Negli ultimi anni il ransomware è diventato un incubo per l’intero settore della cybersecurity, con continui sviluppi e miglioramenti da parte degli operatori del ransomware – commenta Nikita Nazarov, Team Lead Threat Intelligence Group di Kaspersky -. Per gli specialisti di cybersicurezza è lungo e spesso impegnativo studiare ogni singolo gruppo di ransomware e seguirne le attività e gli sviluppi, per cercare di vincere la gara tra attaccanti e difensori”.
Lo scopo della ricerca è quindi quello di fungere da guida per i professionisti della cybersecurity per facilitare il loro lavoro.