Il ransomware è diventato uno dei modelli di business di maggiore impatto del cybercrime e costa alle organizzazioni miliardi di dollari all'anno. In un attacco ransomware, i criminali informatici sottraggono o criptano dati preziosi per poi chiedere un pagamento per restituirli. Questi attacchi si sono trasformati da seccatura per i consumatori a malware sofisticato, con capacità di crittografia avanzate, e nessun settore, area geografica o dimensione di impresa ne è immune.
Proteggere la tua organizzazione dal ransomware e da altri tipi di malware richiede una risposta rapida, perché, ogni secondo, vengono criptati più file e infettati più dispositivi e aumentano danni e costi. IBM Security QRadar SIEM aiuta a rilevare rapidamente queste minacce, in modo da poter agire immediatamente e con cognizione di causa per prevenire o ridurre al minimo gli effetti dell'attacco.
Leggi la guida completa ai ransomware
Leggi il report Costo di una violazione dei dati 2022
Nella lotta contro il ransomware, la rilevazione precoce e la prevenzione sono essenziali. QRadar SIEM offre analitica di sicurezza intelligente che fornisce conoscenza attivabile per contrastare le minacce critiche.
Il 21% di tutti gli attacchi informatici sono ransomware¹
Il costo medio di un attacco ransomware è di 4,54 milioni di USD2
Si è verificato un aumento del 146% dei ransomware Linux con un nuovo codice3
Il ransomware, come la maggior parte del malware, attraversa diverse fasi. QRadar SIEM è in grado di individuare ransomware noti e sconosciuti in tutte queste fasi. La diagnosi precoce può aiutare a prevenire i danni causati nelle fasi successive. QRadar fornisce estensioni di contenuto che includono centinaia di casi d'uso per generare avvisi in tutte queste fasi. Le estensioni dei contenuti vengono fornite tramite App Exchange e consentono di ottenere i casi d'uso più recenti. Le raccolte di IBM Security X-Force Threat Intelligence sono utilizzate come riferimenti nei casi d'uso per aiutare a trovare i più recenti indicatori di compromissione (IOC) noti, come indirizzi IP, hash di file malware, URL e altro ancora.
La maggior parte dei malware e dei ransomware "noti" può essere individuata nelle fasi iniziali. Per rilevare i ransomware sconosciuti, QRadar SIEM offre casi d'uso incentrati sulla rilevazione dei comportamenti dei ransomware. La visibilità su endpoint, server applicativi (on premises e cloud) e dispositivi di rete (firewall) consente a QRadar SIEM Use Case Manager di rilevare i modelli di comportamento del ransomware che si estendono all'infrastruttura IT e OT. Lo Use Case Manager può aiutarti a capire se hai casi d'uso o regole interessate da queste fasi tramite la matrice MITRE ATT&CK.
In questa fase il ransomware si presenta come un altro malware. Utilizza tecniche di phishing per indurre i tuoi ignari dipendenti a fare clic su un collegamento o su un eseguibile in un'e-mail, un Honeypot, un social media o un messaggio di testo.
Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di distribuzione e ransomware noti:
- Eseguibile incorporato nell'e-mail
- Comunicazione via e-mail o web con un host ostile
- Oggetto dell'e-mail sospetto
Questo è il momento in cui parte il cronometro. Il ransomware è ora presente nell'ambiente. Se il ransomware ha utilizzato un "dropper" per evitare la rilevazione nella fase di distribuzione, questo è il momento in cui il dropper chiama una richiesta di servizio e scarica il vero eseguibile e lo esegue.
Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di infezione:
- Rilevazione di file o processi dannosi
- Rilevazione di IOC dannosi
- Decodifica o download di file seguiti da attività sospette
Il ransomware scansiona il computer per analizzare i diritti amministrativi che potrebbe ottenere, farsi eseguire all'avvio, disabilitare la modalità di ripristino, eliminare copie shadow e altro ancora.
Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di staging:
- Tentativo di eliminare copie shadow, backup
- Recupero disabilitato nella configurazione di boot
Ora che il ransomware si è impossessato del computer dalla fase iniziale, inizia una fase di ricognizione della rete (percorsi di attacco), delle cartelle e dei file con estensioni predefinite e altro.
Ecco alcuni esempi di utilizzo di QRadar SIEM per individuare comportamenti di ricognizione:
- Tentativo di eliminare copie shadow, backup
- Dimensioni limite del trasferimento dati
Il vero danno inizia ora. Tra le azioni tipiche si annoverano: creare una copia di ciascun file, criptare le copie, collocare i nuovi file nella posizione originale. I file originali potrebbero essere estrapolati ed eliminati dal sistema: questo consente agli aggressori di minacciare la vittima di rendere pubblica la violazione o addirittura di far trapelare i documenti sottratti.
Ecco alcuni esempi di utilizzo di QRadar SIEM per individuare comportamenti di cifratura:
- Cancellazione o creazione eccessiva di file
- Numero sospetto di file rinominati o spostati sulla stessa macchina (UNIX)
- Dimensioni limite del trasferimento dati
Il danno è compiuto e l'utente riceve una notifica su come pagare il riscatto per ottenere la chiave di decodifica. A questo punto non c'è molto altro da rilevare, se non la creazione del file di istruzioni per la decodifica.
Ecco alcuni esempi di casi d'uso di QRadar SIEM per individuare comportamenti di notifica ransom:
- Creazione di istruzioni per la decodifica del ransomware
I casi d'uso per trovare il ransomware sono disponibili nelle seguenti estensioni di contenuto che si trovano su App Exchange (il collegamento risiede al di fuori di ibm.com):
- IBM QRadar Phishing and Email Content Extension (il collegamento risiede al di fuori di ibm.com)
- IBM QRadar Security Threat Monitoring Content (il collegamento risiede al di fuori di ibm.com)
- IBM QRadar Endpoint Content Extension (il collegamento risiede al di fuori di ibm.com)
Dopo la fase iniziale di infezione, il tempo è fondamentale. Prima avviene la rilevazione, prima si può avviare il piano di risposta all'incidente (IR). Migliore è il piano di IR, più rapido è l'arresto dell'avanzamento del ransomware nelle fasi. NIST (collegamento esterno a ibm.com) e SANS (collegamento esterno a ibm.com) hanno linee guida IR che hanno superato la prova del tempo. Qualsiasi piano IR presenta alcuni aspetti chiave.
Backup inplace. I backup non in linea sono fondamentali in un attacco ransomware. Assicurati di sapere dove si trovano i backup e come ripristinare i tuoi sistemi. Includi nel processo di IR i passaggi relativi a chi contattare per ciascuno degli asset IT critici.
Gruppi, strumenti e ruoli identificati. Man mano che il ransonware attraversa le varie fasi, dall'infezione iniziale alla cifratura, la composizione del team di risposta cambia. Questo di solito significa che è necessario coinvolgere più persone all'interno dell'organizzazione. Spesso ciò può comportare il ricorso a servizi di terze parti o, nel caso di una violazione, ciò può significare contattare legali, enti regolatori esterni e clienti. Sapere chi contattare e quando è fondamentale. Mantenere aggiornato un elenco di contatti è importante, ma integrare i ruoli di contatto nel processo è fondamentale per una risposta efficace. Carta e PDF sono adeguati, ma è importante poter disporre degli strumenti corretti e di un'automazione che consenta a tutto il team di accedere al processo di risposta al ransomware, alle azioni e alla documentazione storica.
Un processo ben definito e l'automazione. Un processo di IR può contenere molte attività e può includere più processi decisionali. È buona norma allineare il proprio processo alle fasi delineate da NIST e SANS. Ad esempio, è possibile organizzare il processo di IR in base alle seguenti fasi:
- Rilevazione e identificazione
- Arricchimento e convalida
- Contenimento e correzione
- Recupero e trasmissione
QRadar SOAR fornisce playbook per definire il processo di IR e automatizzare le numerose azioni che un analista può dover eseguire per avanzare rapidamente nelle fasi. La risposta alla violazione di QRadar SOAR è in grado di creare le attività di segnalazione necessarie alle autorità di regolamentazione in base ai PI esposti.
Inventario degli asset IT, proprietari, PI. Quando un sistema è infetto, un analista della sicurezza deve conoscere il proprietario, le applicazioni e i dati del sistema. Le soluzioni di gestione delle risorse, come ServiceNow o SAP, possono aiutare a gestire i contatti per i sistemi. IBM Security Discover and Classify può aiutare a trovare fonti di dati e PI in ogni fonte. In questo modo, nel caso di una violazione dei dati, gli analisti sanno se sono coinvolte le normative.
La città di Los Angeles, il LA Cyber Lab e IBM collaborano per fornire threat intelligence e rafforzare i business locali vulnerabili.
L'integrazione dei dati, l'analisi dei log e l'assegnazione delle priorità degli incidenti aiutano la società di investimento e sviluppo immobiliare vietnamita a rilevare e rispondere alle minacce.
Con l'hosting di una soluzione QRadar SIEM sull'archiviazione IBM FlashSystem® ad alte prestazioni, Data Action (DA) offre una maggiore sicurezza alle banche alternative.
La rilevazione delle minacce dal centro all'endpoint con QRadar SIEM protegge la tua organizzazione in diversi modi.
Integra le soluzioni di individuazione delle minacce informatiche di IBM Security nella tua strategia di sicurezza per contrastare e mitigare le minacce più rapidamente.
Integra i pacchetti di conformità in QRadar SIEM per garantire la conformità e automatizzare la segnalazione.
Blocca rapidamente gli attacchi informatici con la rilevazione delle minacce quasi in tempo reale di QRadar SIEM.