Ransomware, prevenire è meglio che curare: i consigli di Cisco Talos
A cura della redazione
La tempestività fa la differenza. Negli ultimi due anni e mezzo, il team di Cisco Talos è stato coinvolto in numerosi casi di “pre-ransomware”, cioè situazioni in cui un attacco era già in corso ma non ancora arrivato alla fase più grave: il blocco dei sistemi e la richiesta di riscatto. Dall’analisi di questi interventi è emerso un dato chiave: coinvolgere subito il team di risposta agli incidenti e reagire rapidamente agli avvisi di sicurezza – idealmente entro due ore – si è rivelato spesso decisivo per fermare l’attacco sul nascere.
Cisco Talos ha raccolto le raccomandazioni più frequenti emerse dal lavoro con i clienti, per aiutare le organizzazioni a colmare le lacune di sicurezza più comuni, fornendo linee guida pratiche e subito attuabili per rafforzare le difese digitali.
Cosa è il “pre-ransomware”
Non tutti gli attacchi informatici arrivano subito alla fase più distruttiva, quella in cui i dati vengono bloccati e parte la richiesta di riscatto. Spesso, prima di arrivare a quel punto, i criminali informatici mettono in atto una serie di azioni preparatorie. Cercano, ad esempio, di ottenere accesso come amministratori di dominio a livello aziendale, passando da un account all’altro per alzare i propri privilegi. Possono installare strumenti di controllo remoto, raccogliere credenziali o modificare il sistema operativo attraverso procedure automatizzate.
Spesso queste tecniche non sono usate direttamente da chi porta avanti l’attacco ransomware, ma da intermediari specializzati – i cosiddetti Initial Access Broker (IAB). Questi gruppi entrano nei sistemi, ottengono le chiavi d’accesso e poi vendono le credenziali a chi organizzerà l’attacco vero e proprio. Anche in questi casi, però, il risultato finale è molto spesso un ransomware. Ecco perché riconoscere subito le attività “pre-ransomware” è di importanza cruciale.
Coinvolgere rapidamente gli esperti
In circa un terzo dei casi, il fatto che le aziende abbiano coinvolto Cisco Talos entro uno o due giorni dai primi segnali di attività sospetta si è dimostrato decisivo. Questo ha permesso di:
Anticipare i criminali: grazie alla conoscenza del panorama delle minacce è stato possibile collegare gli indizi trovati sulle reti dei clienti a campagne ransomware già osservate in altri casi, riconoscendo così i possibili prossimi passi degli aggressori.
Dare indicazioni concrete e immediate: seguendo le raccomandazioni fornite da Talos, molte aziende hanno potuto isolare rapidamente i sistemi a rischio ed evitare che l’attacco si trasformasse in un disastro.
Rafforzare il monitoraggio: con il supporto del team Cisco XDR, le organizzazioni hanno potuto tenere alta la guardia anche dopo il contenimento della minaccia, verificando che non rimanessero tracce dell’attacco.
Gli avvisi che richiedono una risposta rapida
Un allarme generato da soluzioni di sicurezza come EDR (Endpoint Detection and Response) o MDR (Managed Detection and Response) può fare la differenza tra un tentativo di intrusione e un vero e proprio attacco ransomware.
Il monitoraggio costante consente ai team di sicurezza di reagire subito al primo segnale sospetto, isolare l’attività dannosa e impedire ai criminali di guadagnare terreno all’interno della rete aziendale. Cisco Talos ha rilevato che quando i team di sicurezza sono intervenuti entro due ore da un avviso, l’attacco è stato contenuto con successo in quasi un terzo dei casi analizzati.
Alcuni degli avvisi che richiedono una risposta rapida includono, ad esempio:
– tentativi di connessione a domini sospetti o bloccati;
– attività di forza bruta per indovinare le password;
– download anomali tramite PowerShell;
– comportamenti diversi dall’attività “normale” dell’organizzazione;
– creazione improvvisa di un nuovo account amministratore;
– connessioni riuscite verso indirizzi IP esterni sconosciuti;
– modifiche agli strumenti di autenticazione a più fattori (MFA) e esclusione di un account dai controlli MFA.
Endpoint protection, l’importanza di un approccio proattivo
In oltre il 10% dei casi analizzati, gli attacchi ransomware sono stati fermati sul nascere grazie alle soluzioni di sicurezza che non si sono limitate a segnalare il problema, ma hanno bloccato o messo in quarantena i file dannosi. Spesso, infatti, le aziende configurano i sistemi di protezione degli endpoint in modo “passivo”: il software avvisa l’utente, ma non interviene direttamente.
Questo approccio, però, lascia aperta la porta agli aggressori. Al contrario, una configurazione più proattiva e automatizzata si è dimostrata molto più efficace nel fermare la diffusione del ransomware.
Secondo Cisco Talos, le restrizioni di sicurezza ben implementate hanno ostacolato gli attacchi ransomware in circa il 9% dei casi studiati.
I consigli pratici di Cisco Talos
Dall’analisi degli incidenti pre-ransomware, Cisco Talos ha individuato alcune raccomandazioni concrete per rafforzare le difese e ridurre drasticamente il rischio di un attacco ransomware:
Aggiornare sistemi e software: installare tutte le patch disponibili per ridurre le vulnerabilità sfruttabili dagli aggressori.
Backup offline dei dati: conservare copie sicure dei dati critici che non siano collegate alla rete principale.
Bloccare applicazioni non autorizzate: configurare le soluzioni di sicurezza per consentire solo software verificato e impedire installazioni impreviste.
Autenticazione a più fattori (MFA): applicarla a tutti i servizi critici, monitorando eventuali abusi o tentativi di bypass.
Migliorare la visibilità degli endpoint: usare strumenti per registrare e monitorare le attività dei sistemi.
Regole firewall efficaci: filtrare il traffico in entrata e in uscita per bloccare protocolli che gli aggressori potrebbero usare per comunicazioni o furto di dati.
Segmentazione della rete: limitare il movimento laterale dei criminali e proteggere le risorse più sensibili, evitando che siano direttamente accessibili da Internet.
Formazione continua degli utenti: sensibilizzare i dipendenti sulle tecniche di ingegneria sociale, phishing e attacchi avanzati.