LECS VS Ransomware

La definizione:

Il ransom malware, o ransomware, è un tipo di malware che blocca l’accesso ai sistemi o ai file personali degli utenti e chiede il pagamento di un riscatto per renderli nuovamente accessibili. Le prime varianti di ransomware risalgono alla fine degli anni ’80, e i pagamenti dovevano essere effettuati tramite posta. Oggi, il pagamento del riscatto viene richiesto mediante criptovaluta o carta di credito.

Impatto ed evoluzione

L’ impatto che tale minaccia può avere sui sistemi (e sui dati) può essere devastante, e purtroppo lo è nella stragrande maggioranza dei casi, statistiche alla mano.
Cifrare i dati comporta blocchi operativi devastanti ed esosi in termini economici per un azienda.
Cosa giustifica tale “successo” di questa minaccia, è l’ unione del fattore capillarizzazione dell’IT, smart work e 4.0. Tale estensione ha permesso un ingrandimento della superficie d’attacco ed un correlato numero sempre maggiore di possibili vittime di attacchi social engineering.
Difatti, il principale vettore di attacco preferito attualmente è il phishing in ogni sua forma (vishing, whaling, spear…) ma ovviamente non si escludono molti altri vettori, come P2P illegale, webpage compromesse, ed in certi casi anche periferiche fisiche come le chiavette USB e memorie di massa, fino ad arrivare agli approcci gestionali aziendali “BYOD”.

Analisi tecnica da un punto di vista del
network security

L’impatto di un ransomware su un singolo client è indubbiamente pericoloso, ma considerando l’ipotesi (realistica) di un’infezione di rete e quindi infezione massiva di n device significa un blocco completo operativo di intere infrastrutture, compiuto nel giro di pochi minuti.
I ransomware sono malware evoluti, difatti portano con loro una serie di algoritmi che eseguono strategiche operazioni in relazione alla kill-chain.
Lo scopo infatti è infettare quanti più host possibili per diminiure la possibilità di recupero ed aumentare le probabilità che il riscatto venga pagato.
Pertanto non si limitano a compromettere solo i file del primo host, ossia il “paziente zero” ma anche tutti i backup in LAN, shared fodler di altri host, database, fino a raggiungere criticità di Directory AD e sistemi Cloud in alcuni casi.

La Kill Chain

La catena di attacco di un ransomware è ben definita e segue specifiche operazioni per arrivare al “Pay Day”.


-Thanks: CyberVPN

             LECS VS Advanced Ransomware

Ovviamente il primo step, è quello dell’infezione.
Come anticipato nel paragrafo precedente i vettori principali sono mail di Phishing e tutto ciò che riguarda l’interazione diretta con l’utente esposto a social engineering.
Quindi email, link malevoli e molto altro sono i preferiti dai cyber criminali, questo perché l’utente medio purtroppo cade molto spesso nella trappola nel phishing dando inizio allo step 1.
Generalmente sono file PDF o documenti di varia natura, inclusi compressi (zip, 7z…), che una volta aperti danno inizio all’infezione.
Gli attacchi via phishing, non solo fanno si che la minaccia abbia successo ma agevola tutte le manovre di bypassing/evasion da parte della minaccia.
Questo perché è chiaramente più articolato mettere in piedi un attacco ad-hoc contro i PPS – servizi e protocolli- o addirittura attacchi alla supply-chain
con un malware sviluppato a misura.
Con una mail si bypassano le misure di sicurezza molto più facilmente. La mail infatti bypassa e sfugge completamente alle comuni misure di sicurezza perimetrali, arrivando direttamente all’ host target per dare il via alla sua esecuzione e quindi, all’inizio dell’infezione. A questo punto, dovremmo affidarci a sistemi di protezione endpoint locali, come gli antivirus.
Come mai allora spesso non riescono a fermare queste minacce?
I ransomware odierni sfruttano tecniche avanzate di obfuscation ed evading per compromettere il sistema senza fare trigger di sistemi di protezione, pertanto è molto complesso fare la detection di un codice cifrato che lavora in background, e proprio per questo siamo già entrati nella terza fase della kill-chain.
Analizzando a fondo un malware del genere, ci si rende conto della complessità ed articolazione delle operazioni che possono eseguire. Al contrario di quanto si può pensare, questa minaccia su un piano tecnico non si limita a cifrare, difatti integra molti altri svariati algoritmi, ognuno con un target operazionale ben
preciso e di diversa natura. Procedure e script di C2C (command & control), scanning, privilege escalation e molto altro permetto alla stessa cyber threat di progredire nei sistemi sia locali che di rete per arrivare al goal finale di compromissione totale.
Una volta preso il possesso della macchina infatti, la minaccia eseguirà movimenti laterali sul network al fine di trovare ulteriori bersagli per importanza più delicati e sensibili, come file server AD o LAN storage di backup (come i NAS), mettendo completamente sotto scacco un’ intera azienda una volta infettati.
Questi ransomware possono portare con sé anche strumenti di exploit specifici per certi PPS per continuare l’ infezione, come è accaduto per il famosissimo Emotet ed in molti altri casi.

Proprio qui inizia ad interviene il sistema LECS, l’ultimo baluardo di cyber defence.

Durante questi movimenti laterali, la minaccia esce “allo scoperto”, perdendo parzialmente la sua natura stealth in localhost per muoversi sull’ infrastruttura di rete.



Infatti già nelle prime fasi di movimento laterale, il malware genera un traffico interno, in relazione alle scansioni e tentativi di connessione ad host interni, invisibili ai firewall perimetrali, e pertanto può agire indisturbato sull’intera subnet finchè non trova nuovi elementi, e possiamo parlare anche di interi giorni. Grazie alla cooperazione degli algoritmi proprietari brevettati Specto e Tiresia, la detection effettuata in realtime permette di spezzare la catena di attacco immediatamente, salvaguardando completamente ciò che deve essere protetto ad ogni costo, analizzando la morfologia del traffico. La tecnologia Raises di intervento arrivando fino al livello 1 dello stack, e lavorando quindi in un piano parallelo di azione rispetto alle comuni contromisure fa tendere il fattore efficacia al 100%. Infatti un sistema Airgapped fisicamente, blocca ogni tentativo di evasione da parte del ransomware e bloccando definitivamente l’accesso al segmento di rete.

La forza del timing

Già la semplice ricognizione di scansione eseguita da un ransomware del genere viene fermata, applicando la contromisura Raises, bloccando quindi la diffusione in TUTTA la rete, ed allarmando immediatamente host connessi e l’azienda stessa dell’accaduto, evitando così danni incredibili.

Conclusione

Pertanto la tecnologia LECS, si rileva efficace in ogni contesto, ed agisce con efficacia contro minacce ransomware di rete.

 

 

Threat Hunting Team