CISA continua la guerra al ransomware
Buona domenica e ben ritrovato caro cyber User. L'organismo statunitense, preposto per la sicurezza informatica, si muove verso la prevenzione in ambito ransomware, con alert e consigli alle infrastrutture critiche. È consolidata l'idea secondo la quale in USA, gli attacchi ransomware siano un problema decisamente sentito.
In effetti anche dal punto di vista statistico, negli ultimi tre anni, questo paese è quello che subisce più danni da questa tipologia di minaccia cyber.
La US Cybersecurity and Infrastructure Security Agency (CISA) ha annunciato un nuovo progetto pilota, la Pre-Ransomware Notification Initiative, che spera sarà in grado di notificare più vittime possibile prima che l'attacco ransomware avvenga.
L'idea non è dettagliata dal punto di vista tecnico, sul come verranno generati gli avvisi ai titolari dell'infrastruttura in esame, però emerge che si tratta di un sistema implementato per le strutture pubbliche che fanno parte del perimetro che CISA ha costruito. Vale a dire sanità, energia ed istruzione. Anche da una semplice consultazione della nostra Dashboard Ransomware Monitor, è facile individuare questi tre, come i settori maggiormente vessati, non solo in USA ma in generale.
"Questi avvisi preventivi possono consentire alle vittime di sfrattare in modo sicuro gli attori del ransomware dalle loro reti prima che gli attori abbiano la possibilità di crittografare e trattenere dati e sistemi critici a scopo di riscatto".
Il progetto dunque consiste nel monitorare in maniera più importante i target di perimetro, con scansioni ad hoc alla ricerca di eventuali vulnerabilità che possano consentire l'accesso malevolo all'infrastruttura e, in caso di rilevazione positiva, inviare l'alert ai responsabili.
Il ransomware in questa fase non dovrebbe essere ancora entrato in azione. Solitamente gli attori malevoli che conquistano un accesso ad una rete vittima, non sono gli stessi che si occupano di far partire il ransomware con tutto ciò che ne consegue. Gli accessi vengono spesso venduti/scambiati tra bande criminali con trattative che possono essere anche lunghe. E' proprio di questo lasso temporale che si nutre questa operazione di CISA. Sfruttare tale tempo per rilevare vulnerabilità o accessi abusivi già effettuati e segnalarli prontamente.
Doveroso ricordare che in ambito ransomware, ci sia una grande variabilità di modus operandi, anche solo se ci si sposta da un gruppo ad un altro. Infatti molti altri non fanno trattative lunghe oppure si procurano l'accesso alla rete, direttamente dall'interno del gruppo, senza doverlo dunque acquistare esternamente. In questi casi dall'accesso all'attivazione del ransomware, può passare anche solo un giorno, o in altri casi, persino poche ore.
Non si sa neppure quanto questo progetto possa avere successo in America, tuttavia è sicuramente incoraggiante il fatto che si intraprendano iniziative in contrasto di questa pericolosa minaccia, tuttora estremamente diffusa.
CISA afferma che negli ultimi tre mesi, con un sistema di prevenzione si è riusciti ad aiutare 60 organizzazioni prima che avvenisse l'attacco.
Tra le pecche del progetto, per ovvi motivi, compare quello secondo cui l'iniziativa sia rivolta, ad esempio, alle infrastrutture critiche e non concepita per aiutare le PMI al di fuori di questi settori.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.