Quando un ransomware entra in una rete aziendale, di solito lo fa attraverso un’e-mail, oppure sfruttando le vulnerabilità di un software o grazie a delle connessioni remote non protette adeguatamente. Avere un insider che distribuisce di proposito un malware sembra poco plausibile. Tuttavia, come dimostrano le prove dal mondo reale, i criminali informatici ritengono che questo metodo di distribuzione del ransomware sia efficace, e alcuni stanno reclutando i dipendenti delle aziende offrendo loro una percentuale del riscatto.
Un sistema di diffusione creativo
Per quanto assurdo possa sembrare, alcuni cybercriminali cercano complici attraverso lo spam. Per esempio, un messaggio offre esplicitamente “Il 40%, di 1 milione di dollari in bitcoin” a chiunque voglia installare e distribuire il ransomware DemonWare sul server Windows principale dell’azienda per cui lavorano.
I nostri ricercatori, che si sono finti dei probabili complici interessati, hanno ricevuto un link a un file insieme a delle istruzioni per lanciare il malware. Tuttavia, la persona responsabile dell’invio era apparentemente un criminale informatico inesperto; i ricercatori non hanno avuto problemi a farlo parlare. L’autore della minaccia in questione era un giovane nigeriano che aveva setacciato LinkedIn alla ricerca di alti dirigenti da contattare. Ha abbandonato il suo piano originale, l’invio di malware via e-mail, una volta che si è reso conto di quanto siano forti i sistemi di cybersecurity aziendali.
Cosa c’è di sbagliato in questa tattica?
Per convincere i suoi bersagli che la loro partecipazione sarebbe stata sicura, l’autore della minaccia afferma che il ransomware avrebbe cancellato tutte le prove del crimine, compreso qualsiasi potenziale filmato di sicurezza, e consiglia di eliminare il file eseguibile per evitare di lasciare indizi. Ci si potrebbe aspettare che il criminale abbia pianificato di ingannare i suoi complici (una volta che il server è stato cifrato, non gli sarebbe importato molto della loro sorte), ma non sembra aver capito bene come funzionano le indagini di digital forensics.
Anche la decisione di usare DemonWare ha tradito la sua inesperienza. Sebbene alcuni cybercriminali se ne servano ancora, DemonWare è in realtà un malware piuttosto poco sofisticato il cui codice sorgente è disponibile su GitHub. Il creatore del malware lo ha presumibilmente utilizzato per dimostrare quanto sia facile scrivere un ransomware.
Come difendersi
Anche se si tratta solo di un esempio, l’idea che gli insider possano prendere parte a un attacco ransomware è del tutto plausibile. È molto più probabile che qualcuno venda l’accesso al sistema informatico di un’organizzazione rispetto all’esecuzione di un malware sulla rete.
Il mercato per l’accesso alle reti aziendali esiste da tempo sul dark web, e i ricattatori spesso acquistano l’accesso da altri criminali informatici, i cosiddetti Initial Access Broker. Sono loro che possono essere specificamente interessati ad acquistare dati per l’accesso remoto alla rete dell’azienda o ai server su cloud. Gli annunci per tali acquisti rivolti a dipendenti scontenti o licenziati pullulano sul dark web.
Per assicurarvi che nessuno metta in pericolo la sicurezza della vostra azienda, aprendo le porte ai ricattatori, vi consigliamo quanto segue:
- Adottate una strategia di concessione minima dei privilegi di accesso alle diverse risorse aziendali;
- Tenete un controllo attento dei tentativi di accesso alla rete e ai server aziendali, revocate i diritti di accesso e cambiate le password nel momento in cui un dipendente viene licenziato;
- Installate su ogni server soluzioni di sicurezza che possano contrastare i malware moderni;
- Utilizzate soluzioni di Managed Detection and Response, che aiutino a identificare attività sospette nella vostra infrastruttura prima che i cybercriminali abbiano la possibilità di infliggere seri danni.