Un’analisi sulle tattiche, le tecniche e le procedure (TTP) più comuni utilizzate durante gli attacchi dagli 8 gruppi di ransomware più prolifici. È quanto ha condotto il team di Threat Intelligence di Kaspersky sull’attività di Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte e BlackCat. Si tratta di gruppi attivi tra marzo 2021 e marzo 2022 in Stati Uniti, Gran Bretagna e Germania, dove hanno preso di mira oltre 500 organizzazioni in settori quali la produzione, lo sviluppo di software e le piccole imprese. La ricerca ha rivelato che gruppi diversi condividono più della metà della catena di cyber-kill ed eseguono le fasi principali di un attacco in modo identico.
Gli attacchi seguono uno schema prevedibile
Questo studio sul ransomware moderno servirà a capire come operano i gruppi di ransomware e come difendersi dai loro attacchi. La ricerca ha analizzato il modo in cui i gruppi di ransomware impiegano le tecniche e le tattiche descritte in MITRE ATT&CK, e ha riscontrato molte somiglianze tra le loro TTP lungo tutta la catena di cyber-kill. Le modalità di attacco dei gruppi si sono rivelate piuttosto prevedibili: gli attacchi ransomware seguono uno schema che comprende la rete aziendale o il computer della vittima, la distribuzione del malware, le nuove scoperte, l’accesso alle credenziali, l’eliminazione delle copie shadow, la rimozione dei backup e il raggiungimento degli obiettivi.
Il riutilizzo di TTP comuni facilita l‘hacking
I ricercatori spiegano anche da dove deriva la somiglianza tra gli attacchi. Ad esempio, emerge un fenomeno chiamato Ransomware-as-a-Service (RaaS), secondo il quale gruppi di ransomware non distribuiscono il malware da soli, ma forniscono solo i servizi di crittografia dei dati. Dal momento che chi distribuisce i file dannosi vuole anche semplificarsi la vita, vengono utilizzati metodi di consegna dei modelli o strumenti di automazione per ottenere l’accesso. Inoltre, il riutilizzo di strumenti vecchi e simili rende la vita più facile agli attaccanti, riducendo il tempo necessario per preparare un attacco, mentre il riutilizzo di TTP comuni facilita l‘hacking. L’installazione lenta di aggiornamenti e patch da parte delle vittime le rende poi più vulnerabili. Sebbene sia possibile rilevare tali tecniche, è molto più difficile farlo in modo preventivo.
“Un incubo per il settore della cybersecurity”
La sistematizzazione dei vari TTP utilizzati dagli attaccanti ha portato alla formazione di un insieme generale di regole SIGMA in conformità con MITRE ATT&CK, che aiuta a prevenire tali attacchi.
“Negli ultimi anni il ransomware è diventato un incubo per l’intero settore della cybersecurity, con continui sviluppi e miglioramenti da parte degli operatori del ransomware – commenta Nikita Nazarov, Team Lead Threat Intelligence Group di Kaspersky -. Per gli specialisti di cybersicurezza è lungo e spesso impegnativo studiare ogni singolo gruppo di ransomware e seguirne le attività e gli sviluppi, per cercare di vincere la gara tra attaccanti e difensori”.
Lo scopo della ricerca è quindi quello di fungere da guida per i professionisti della cybersecurity per facilitare il loro lavoro.