Inc. Ransom Group – Detection and Prevention

Inc. Ransom è un gruppo di criminali informatici che si concentra sul lancio di attacchi mirati a organizzazioni e imprese aziendali su larga scala. Utilizzano una combinazione di vettori di attacco, tra cui lo sfruttamento della vulnerabilità, le e-mail di spearphishing e ransomware deployment.

Richiedi una Demo Anti-ransomware

Primer su Inc. Ransom Group

Il gruppo Inc. Ransom è emerso per la prima volta nel luglio 2023. A settembre dello stesso anno, avevano annunciato pubblicamente il successo dell'infiltrazione di ben 12 vittime, una cifra che ora è aumentata vertiginosamente.

Inc. Ransom ha un blog basato su TOR in cui rilascia periodicamente informazioni relative ai suoi incidenti informatici di successo. I blog precedenti hanno accennato a quali vittime sono state colpite dal suo ransomware e riepiloghi dei volumi di dati che è riuscito a esfiltrare da ciascuna azienda.

Metodi di attacco

Ecco un esempio del percorso tipico Inc. Segue il riscatto per violare i sistemi aziendali:

  1. Accesso iniziale: Inc. Ransom prende di mira le vulnerabilità nei servizi aziendali, come il CVE-2023-3519 in Citrix NetScaler, o una serie di campagne di spear-phishing per compromettere le credenziali degli utenti.
  2. Scansione del sistema: Una volta che gli attori delle minacce hanno accesso ai sistemi di un'azienda, utilizzano l'account compromesso per eseguire diverse forme di scansione del sistema. Cercheranno altre vulnerabilità nell'ecosistema, scansionando reti, domini e altri dispositivi di rete collegati.
  3. Ispezione dei dati: utilizzando account compromessi, il gruppo ispezionerà documenti, immagini e il contenuto delle cartelle per assicurarsi che ci siano dati preziosi nel sistema.
  4. Ulteriore estrazione: Utilizzo di lsassy.y e altri strumenti nativi, Inc. Ransom estrae quindi altre credenziali di accesso disponibili e accede a più sistemi aziendali, rete e account.
  5. Distribuzione del ransomware: Una volta che il gruppo ha accesso a numerosi dispositivi e sistemi in un'azienda, distribuisce i payload che installano ransomware su questi endpoint. Il ransomware crittograferà i documenti e impedirà l'accesso all'azienda, con Inc. Ransom che sfrutta l'automazione per assumere rapidamente il controllo dei sistemi di dati su scala aziendale.

I payload del gruppo Inc. Ransom supportano vari argomenti della riga di comando e utilizzano un approccio multi-threading per crittografare i dati degli utenti.

I target tipici dell'Inc. Gruppo Riscatto

Le minacce ransomware tendono a concentrarsi su due gruppi principali:

  • Piccole e medie imprese
  • Organizzazioni aziendali

Con il primo gruppo, il valore totale dei dati esfiltrati è probabilmente inferiore, ma avranno anche meno difese.

Al contrario, le aziende in genere dispongono di ampie soluzioni di difesa della sicurezza informatica, ma dispongono di dati molto più preziosi. Di questi due gruppi, Inc. Ransom si concentra principalmente su quest'ultimo. Tendono a rivolgersi a società multinazionali più grandi in settori di dati di alto valore, inclusi settori come:

  • Finanza
  • Sanità
  • Tech

La maggior parte degli attacchi di Inc. Ransom si concentra su aziende in Nord America, Europa e, in misura minore, in Australia. I settori leader in termini di numero di vittime sono i servizi professionali, la produzione, l'edilizia e l'assistenza sanitaria.

Strategie per la prevenzione e la mitigazione per Inc. Gruppo Riscatto

Ecco alcune delle migliori pratiche per prevenire e mitigare la minaccia ransomware di Inc. Ransom e altre minacce ransomware.

  1. Identificare le firme di attacco: Monitora la tua rete e i tuoi sistemi e cerca potenziali indicatori di compromissione. Se noti firme di minacce, attività sospette o strane interazioni con i file, cerca di isolare queste aree il più rapidamente possibile.
  2. Test di penetrazione dei sistemi: il red teaming regolare e i test di penetrazione contribuiranno a garantire che la tua azienda identifichi le vulnerabilità nel tuo sistema il prima possibile. Se sei in grado di identificare e neutralizzare le vulnerabilità prima che gruppi come Inc. Ransom le trovino, puoi mantenere la tua azienda al sicuro.
  3. Offrire formazione al personale: Inc. Ransom sfrutta lo spear-phishing per rubare le credenziali degli utenti a dirigenti e altri dipendenti. Offrendo una formazione obbligatoria sulla prevenzione del phishing e del ransomware , contribuisci a limitare la possibilità che il ransomware entri nel tuo sistema attraverso account compromessi.
  4. Utilizza il software anti-ransomware: A causa dei tipici indicatori di minaccia che gli attacchi ransomware possono lasciare, esistono numerosi strumenti anti-ransomware efficaci che potresti utilizzare per tenerti al sicuro. L'implementazione di soluzioni di protezione ransomware aiuterà a mantenere i tuoi endpoint il più sicuri possibile, contribuendo alla sicurezza online del tuo intero sistema.
  5. Sviluppare un piano di risposta alle minacce: anche se si utilizzano tutte le best practice disponibili e si utilizza la soluzione di sicurezza informatica leader a livello mondiale, c'è sempre la possibilità che il ransomware entri nel sistema. Pianificare questa eventualità, non importa quanto improbabile possa essere, sviluppando un piano su come rimuovere il ransomware dal sistema e proteggere i file sensibili ti consentirà di accelerare la mobilitazione di una strategia di difesa informatica in caso di attacco.
  6. Crea backup regolari: La tua azienda dovrebbe creare regolarmente backup dei dati del tuo sistema. Se possibile, creare diverse copie e memorizzarle su una rete isolata. Ad esempio, è possibile archiviare una versione nell'archiviazione locale, una nel cloud e una terza con una terza parte sicura. I backup garantiscono il ripristino dei dati aziendali e la continuità a lavorare quando una minaccia ransomware è attiva nella tua azienda.

Protezione contro i ransomware con Check Point

Il gruppo Inc. Ransom è una seria minaccia per le aziende moderne, in particolare quelle che non hanno gettato solide basi di sicurezza informatica e investito nella formazione dei dipendenti sulla sicurezza. Una volta che il gruppo ottiene l'accesso ai tuoi sistemi, diventa molto più difficile organizzare una difesa efficace.

Un livello di sicurezza preventivo e soluzioni informatiche proattive su tutta la superficie di attacco contribuiranno a ridurre la possibilità di ingresso da Inc. Ransom e altre minacce ransomware. Check Point soluzione anti-ransomware offre una copertura ransomware sofisticata a livello aziendale. Come parte di Harmony Endpoint, Check Point offre una protezione completa degli endpoint, utilizzando l'automazione e le principali strategie di sicurezza informatica per mantenere la tua azienda al sicuro.

Scopri di più su come Check Point può proteggere la tua azienda dal ransomware prenotando una demo gratuita.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK