I primi di Novembre, l’US-CERT ha emesso un avviso congiunto da parte della Cybersecurity and Infrastructure Security Agency (CISA), del Federal Bureau of Investigation (FBI) e del Department of Health and Human Services (HHS) al settore sanitario in merito a un rischio elevato di ransomware attacchi. Nel brief, hanno rivelato di disporre di informazioni credibili sulla minaccia di attacchi ransomware potenzialmente gravi imminenti per gli ospedali e altri servizi sanitari.

Questo è un momento particolarmente brutto per gli ospedali e la sanità a essere a rischio, a causa della natura critica dei servizi offerti in questi tempi preoccupanti. In qualità di fornitore di servizi, è importante prestare a queste organizzazioni critiche un’attenzione e una vigilanza supplementari per mantenerle senza intoppi.

Cosa hai bisogno di sapere

In genere, quando un avviso come questo viene rilasciato, gli emittenti dispongono di informazioni che indicano una campagna mirata da parte degli stati nazionali o di altri malintenzionati organizzati e questi avvisi hanno lo scopo di informare le organizzazioni di mantenere uno stato di vigilanza più elevato. L’avviso prosegue illustrando alcuni dettagli sulle minacce per questa campagna, inclusi alcuni indicatori di compromesso (IoC) da tenere d’occhio. Inoltre, mappano le tecniche, tattiche e procedure (TTP) utilizzate dai cattivi attori al framework MITRE ATT & CK. Come in molte campagne recenti, questa è stata osservata utilizzando Trickbot e quindi componenti Ryuk secondari per la fase di crittografia. Infine, offrono indicazioni su cosa fare se si è colpiti da un evento ransomware.

Qual è il rischio?

Se hai partecipato a uno dei miei boot camp sulla sicurezza , hai sicuramente familiarità con le famiglie di ransomware Trickbot e Ryuk e con alcuni dei componenti della kill chain che esaminiamo. Parliamo di alcune delle tecniche utilizzate in campagne come queste.

Il primo punto d’appoggio è solitamente un’e-mail ben congegnata che induce un utente a fare clic su un documento o a fornire le credenziali. Qui è dove vengono eseguiti i primi script per installare il componente Trickbot.

In questa fase dell’infezione, avviene la ricognizione, la raccolta delle credenziali archiviate e la diffusione laterale nell’ambiente. Trickbot utilizza applicazioni legittime per eludere il rilevamento. Questa campagna è stata osservata utilizzando Anchor_DNS per nascondere la comunicazione ai server Command and Control (C2) per evitare di essere bloccati dai firewall tradizionali e dalla protezione web. Invece, le informazioni sono nascoste nelle query DNS, che vengono quindi visualizzate come rumore DNS in background. Si tratta di un’aggiunta relativamente nuova ai moduli utilizzati da Trickbot, un indicatore del fatto che, proprio come le società di software legittime, i creatori di malware continuano a migliorare la funzionalità del loro set di strumenti. L’advisory prosegue elencando i domini utilizzati in queste query, nonché gli indirizzi IP dei server C2 osservati utilizzati nelle comunicazioni.

Una volta che i cattivi attori decidono di riscattare la vittima, scaricano Ryuk ed eseguono sui sistemi di destinazione. In questo caso, Ryuk è stato osservato utilizzando tecniche come l’enumerazione dei file da crittografare, la scoperta dei processi in esecuzione (che probabilmente determineranno quali difese antimalware sono in uso) e quindi la disabilitazione degli strumenti antimalware in uso per eludere il rilevamento. Tutto ciò viene fatto per migliorare la probabilità di un evento di crittografia di successo e, per estensione, la probabilità che vengano pagati.

Quindi quali sono le migliori difese contro queste minacce moderne a più stadi? Come abbiamo discusso nei nostri boot camp, avrai bisogno di più livelli poiché ogni attacco può iniziare con un punto di ingresso leggermente diverso o arrivare più in basso nella catena ai dati, che è l’obiettivo principale.

Cosa puoi fare adesso

In primo luogo, come con la maggior parte degli attacchi, la protezione di e-mail e siti Web dannosi fornirà protezione il più lontano possibile dall’utente e dai dati.

  • Assicurati che tutte le protezioni anti-spam e anti-phishing siano abilitate.
  • Blocca tutti i tipi di file non necessari nei filtri degli allegati. Se la tua soluzione di protezione della posta elettronica ti consente di bloccare le macro, dovresti farlo, poiché molti di questi attacchi iniziano con un documento con le macro abilitate per ottenere il primo punto d’appoggio su un sistema.
  • Controlla che la protezione Web impedisca l’accesso a siti Web dannosi noti e filtri i contenuti discutibili .
  • Rendi gli utenti consapevoli del rischio elevato. Come accennato, agli operatori sanitari viene chiesto di fare molto in questi giorni e, se sono stanchi, potrebbero cadere più facilmente vittime di e-mail dannose. Prenditi del tempo extra per assicurarti che siano consapevoli dei livelli di minaccia elevati.

  • Successivamente, assicurati che la protezione degli endpoint sia aggiornata e funzionante. Prendi in considerazione l’utilizzo di una soluzione avanzata di protezione degli endpoint come SolarWinds ® Endpoint Detection and Response (EDR), poiché è progettata per rilevare le tattiche e le tecniche più recenti utilizzate dai creatori di malware.
  • La disabilitazione di massa di servizi e processi è un IoC primario all’inizio di un attacco, quindi assicurati di cercare un numero maggiore di servizi disabilitati o interrotti.
  • Avere copie off-site o basate su cloud dei tuoi backup ti aiuterà ad assicurarti di poter recuperare se sei colpito da ransomware.
  • Valuta la possibilità di bloccare il traffico DNS in uscita verso qualsiasi provider DNS diverso da quelli attualmente utilizzati dalla tua infrastruttura DNS per impedire che un’infezione si diffonda. Per lo meno, fai riferimento all’elenco dei domini DNS elencati nell’avviso e blocca le query in uscita verso tali domini.
  • Consulta la Guida al ransomware creata da CISA e MS-ISAC per le migliori pratiche e un elenco di controllo della risposta, per assicurarti di essere preparato nel caso in cui un cliente subisca un impatto.

Tieniti informato sul panorama delle minacce

Sarebbe anche una buona idea iscriversi agli aggiornamenti dalla mailing list del National Cyber ​​Awareness System, poiché tendono a rilasciare e aggiornare regolarmente le informazioni sulle campagne attive. Vai su us-cert.cisa.gov , scorri fino in fondo e inserisci il tuo indirizzo email. È quindi possibile scegliere il tipo di avvisi da ricevere.

Se stai supportando i clienti nello spazio sanitario, ora è il momento di assicurarti che tutta la tua sicurezza sia aggiornata e funzionante, eseguire il backup di sistemi e dati e continuare a monitorare i comportamenti sospetti.

Restiamo al sicuro là fuori!

FONTE: SolarWinds MSP BLOG – Di Gill Langston*

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP

*Gill Langston è il capo nerd della sicurezza per SolarWinds MSP. Puoi seguire Gill su Twitter all’indirizzo  @cybersec_nerd