Un altro giorno, un'altra puntata della saga LockBit. L'ultimo sviluppo della storia infinita delle bande di criminali informatici contro le forze dell'ordine è quasi degno di una serie televisiva tutta sua. Ma cosa significa per voi, che dovete difendere la vostra organizzazione e mantenere la sua capacità di operare in mezzo al caos?
Lettura correlata: Colmare le lacune di sicurezza di AD
La banda dietro il sipario
Il recente scambio di dichiarazioni pubbliche tra LockBit e la National Crime Agency (NCA) del Regno Unito e i suoi partner, tra cui il Dipartimento di Giustizia e il Federal Bureau of Investigations degli Stati Uniti, sembra essere una sorta di gioco mentale. Tuttavia, questa situazione in evoluzione ci dà un'altra occhiata dietro il sipario dell'attività criminale informatica.
I criminali informatici operano come qualsiasi altra operazione organizzata. Hanno fornitori e catene di approvvigionamento, come qualsiasi altra azienda. E come in ogni transazione commerciale, queste relazioni si basano su una certa dose di fiducia. Naturalmente, nel mondo criminale, la fiducia è una moneta costosa.
Questo senso distorto dell'orgoglio aziendale si riflette nella dichiarazione di LockBitSupp, il presunto responsabile dell'operazione LockBit.
Trovo interessante l'enfasi: "... sono sulla strada giusta", sostiene LockBitSupp, e "... nessun hack ... può impedire a un'azienda di prosperare". L'autore afferma di essere nel business del "pentest con postpaid", il che fa sembrare quasi legittime le imprese criminali di LockBit nel campo del ransomware.
Questo sottolinea che la criminalità informatica è un'operazione ben organizzata. Come tale, abbiamo bisogno di una difesa ben organizzata per affrontarla.
Una battaglia senza fine
La lotta tra difensori e avversari è una battaglia continua. Come abbiamo visto in casi precedenti, era solo questione di tempo prima che il gruppo riemergesse nella sua interezza con un nuovo nome o che i suoi membri si unissero ad altri gruppi di ransomware. Solo che pochi esperti di sicurezza informatica pensavano che sarebbero riemersi così presto.
Non commettete errori: La piaga del ransomware degli ultimi cinque anni ha catturato l'attenzione di CISA, NCA, Interpol, FBI e altre agenzie di polizia globali. La lotta quotidiana per interrompere le azioni illegali di LockBit, BlackBasta, CLOP, ALPHV e di numerose altre bande continua seriamente.
Eppure LockBit si sta dimostrando un serpente a due teste. Sebbene il sequestro globale dei suoi beni della scorsa settimana sia stato un risultato importante per le forze dell'ordine, non ci è voluto molto perché il gruppo riprendesse le operazioni. Con oltre 100 milioni di dollari rubati (secondo le forze dell'ordine), il gruppo ha i mezzi e la motivazione per "tornare in affari" il prima possibile. Di certo non sarebbe sparito in silenzio dopo essere stato messo in imbarazzo da un contingente di forze dell'ordine mondiali.
Come sempre, ricordiamo ai nostri clienti di mantenere una mentalità da "presunzione di violazione". L'attività dei criminali informatici non si ferma, né rallenta. Non si può mai abbassare la guardia contro gli attori delle minacce. Costruire una resilienza operativa, compreso un piano di backup e ripristino che dia priorità agli asset critici come l'infrastruttura di identità, è fondamentale per proteggere i vostri dipendenti, clienti e partner.
Quindi, cosa si può fare?
La maggior parte delle organizzazioni sa che non conviene pagare i riscatti. Ma per poter scegliere, è necessario un piano che offra altre opzioni. Costruire la resilienza organizzativa e operativa nel vostro ecosistema digitale vi permette di reagire e di eliminare la ricompensa da cui dipendono le bande criminali di ransomware. Ecco come costruire la resilienza:
- Identificate e valutate immediatamente i vostri sistemi critici. Includete infrastrutture come Active Directory (AD) e altri repository di identità; 9 cyberattacchi su 10 prendono di mira AD.
- Operare con una mentalità di "presunzione di violazione". Se trovate un sistema compromesso o un'attività dannosa (come l'intercettazione di password), presumete che ce ne siano altre che non avete scoperto.
- Monitorare le modifiche non autorizzate all'infrastruttura di identità (ad esempio, AD, Entra ID, Okta).
- Mantenete la visibilità in tempo reale di qualsiasi modifica agli account e ai gruppi di rete elevati.
- Eseguite costantemente il backup dei vostri sistemi di identità con un approccio "cyber-first", consentendo un ripristino rapido e privo di malware.
- Mantenere una copia di qualsiasi ambiente compromesso in modo da poter eseguire un'indagine forense completa.
La piaga del ransomware non deve necessariamente paralizzare le organizzazioni. Con una pianificazione adeguata e un approccio organizzativo alla protezione delle risorse critiche, è possibile assistere al dramma piuttosto che rimanerne coinvolti.