Alcune settimane fa una società SMB operante nel settore dei Media, operativa 24 ore al giorno tutti i giorni della settimana e che aveva spostato le sue attività critiche online durante la pandemia, si è trovata a dover affrontare un attacco del ransomware REvil che potenzialmente poteva portare ad una perdita quantificabile in milioni di dollari al giorno.
L’attacco non è andato a buon fine, ma la società deve ancora riprendersi completamente.
All’inizio di giugno 2021, Cobalt Strike un tool normalmente utilizzato per eseguire penetration test in sede di security assessment e che viene usato sempre più spesso dai cyber criminali per i loro attacchi è stato rilevato sulla rete della società generando immediatamente uno stato di allarme.
Gli hacker hanno rilasciato il ransomware poche ore dopo, alle 4 del mattino, ora locale. Per le quattro ore successive, il team IT dell’azienda e il team Sophos Rapid Response hanno combattuto fianco a fianco contro i pirati informatici che hanno organizzato l’attacco.
L’attacco è fallito, ma gli aggressori sono comunque riusciti a crittografare i dati su dispositivi non protetti, cancellato i backup online e colpito un dominio online non difeso.
La richiesta di riscatto lasciata su dispositivi crittografati richiedeva un pagamento di $ 2,5 milioni ed è stata firmata da REvil, noto anche come Sodinokibi.
Come è iniziato
REvil è un ransomware-as-a-service, questo significa che i criminali non creano il codice da zero ma affittano il malware dagli sviluppatori e quindi usano i propri strumenti e risorse per identificare un obiettivo e attaccarlo. In questo caso era una società di media con circa 600 dispositivi, 25 dei quali server, e tre domini Active Directory, fondamentali per garantire l’operatività 24 ore su 24, 7 giorni su 7.
La corsa alle operazioni da remoto e online
Come per tante organizzazioni durante le prime fasi della pandemia di COVID-19, l’azienda vittima si era affrettata ad adottare soluzioni che consentissero il lavoro da remoto ai suoi collaboratori ma non tutti i dispositivi avevano lo stesso livello di sicurezza e protezione. L’azienda ha inoltre deciso di connettere a internet la rete che prima era air-gap (tecnica informatica solitamente utilizzata per mettere in sicurezza sistemi o reti che richiedono maggior attenzione rispetto ad altre).
La combinazione di queste scelte sarà determinante per quanto succederà in seguito.
Riusciti a penetrare nelle rete aziendale, i pirati informatici hanno rivolto le loro attenzioni ai dispositivi non protetti e quindi attaccabili utilizzandoli come ponte per trasmettere il malware a tutti gli altri device.
L’attacco in corso
Quando il team Rapid Response di Sophos è entrato in gioco, ha scoperto che gli aggressori erano già riusciti a compromettere una serie di account ed erano stati in grado di spostarsi senza difficoltà tra computer non protetti.
“Una delle maggiori problematiche in ambito incident response è la mancanza di visibilità su ciò che sta accadendo sui dispositivi non protetti”, ha affermato Paul Jacobs, responsabile Incident Response Sophos. “Possiamo vedere e bloccare gli attacchi in entrata provenienti da questi dispositivi a un endpoint protetto, ma non possiamo rimuovere centralmente il malware da quei dispositivi o vedere cosa stanno facendo”.
Il team ha anche analizzato le applicazioni software installate sui dispositivi per verificare la presenza di vulnerabilità utilizzate per l’attacco.
“A causa della pandemia, non è insolito trovare applicazioni di accesso remoto installate sui dispositivi dei dipendenti”, ha affermato Jacobs. “Quando abbiamo visto Screen Connect installato su 130 endpoint, abbiamo pensato che fosse un’applicazione autorizzata dall’azienda e di uso comune per le persone che lavorano da casa. Si è scoperto in seguito che la società non ne sapeva nulla: gli hacker avevano installato il software per poter mantenere l’accesso alla rete e ai dispositivi compromessi”.
Questo era solo uno dei numerosi meccanismi implementati dai pirati informatici per mantenere il controllo, gli hacker tra le altre cose avevano anche creato il proprio account di amministratore di dominio.
Testa a Testa
“Mentre l’attacco si sviluppava, gli aggressori erano consci del fatto che prima o poi sarebbero stati individuati e bloccati. Potremmo dire che sapevano che eravamo lì e stavano facendo tutto il possibile per sconfiggerci”, ha detto Jacobs. “I nostri prodotti per la sicurezza hanno una funzionalità comportamentale chiamata CryptoGuard che rileva e blocca i tentativi di crittografare i file anche se l’origine è un dispositivo remoto non protetto. Una volta che abbiamo iniziato a vedere tali rilevamenti, sapevamo che il ransomware era stato scatenato e la battaglia era iniziata”.
Gli aggressori hanno tentato ripetutamente di violare i dispositivi protetti e crittografare i file, lanciando attacchi da diversi device non protetti che erano stati in grado di compromettere.
Ogni tentativo doveva essere bloccato e analizzato a fondo per assicurarsi che non ci fosse nient’altro in corso e che non ci fossero ulteriori danni, anche se a quel punto il successivo tentativo di attacco era già materializzato. Questo compito è stato più difficile del normale perché l’azienda aveva inoltre bisogno di mantenere la maggior parte dei suoi server online per garantire l’operatività 24 ore su 24.
Lentamente l’attacco iniziò ad affievolirsi. Al secondo giorno, gli attacchi in entrata venivano ancora rilevati ma questa volta in modo intermittente, era quindi chiaro che il tentativo di attacco principale era terminato e non era riuscito.
In seguito
Quando i responsabili IT dell’azienda hanno fatto il punto della situazione, hanno scoperto che il danno subito era principalmente limitato ai dispositivi e ai domini non protetti. Il dominio online precedentemente bloccato è stato completamente distrutto e andava ricostruito senza purtroppo poter usare i backup online che a loro volta erano stati cancellati, ma la notizia di rilievo è che la società non è stata completamente paralizzata dall’attacco e soprattutto non ha dovuto pagare il riscatto esorbitante.
Le lezioni apprese
“Nella maggior parte dei casi, nel momento in cui veniamo chiamati, l’attacco è già avvenuto e noi siamo lì per aiutare a contenere, neutralizzare e indagare sulle conseguenze”, ha affermato Peter Mackenzie, manager di Sophos Rapid Response. “In questa occasione eravamo lì mentre si svolgeva la fase finale dell’attacco e abbiamo potuto vedere in prima persona la determinazione e la crescente frustrazione degli hacker che hanno tentato di attaccare in simultanea da più parti possibili.”
Gli esperti di Sophos ritengono che ci siano due importanti lezioni che i responsabili IT possono trarre da questa situazione:
La prima riguarda la gestione del rischio. Quando apporti modifiche al tuo ambiente IT, ad esempio cambiando una rete da air gap a online come nel caso di questa azienda, il tuo livello di rischio cambia. Si aprono nuove aree di vulnerabilità.
La seconda riguarda la conservazione dei dati. Il primo account compromesso in questo attacco apparteneva a una persona del team IT. Tutti i dati erano stati cancellati e ciò significava la perdita di informazioni preziose, come i dettagli della violazione originale, informazioni necessarie per successive analisi e indagini forensi. Più i dati vengono mantenuti intatti e al sicuro, più è facile vedere cosa è successo e assicurarsi che non possa accadere di nuovo.
Suggerimenti
Sophos consiglia le seguenti best practice per difendersi da REvil e da altre famiglie di ransomware e dai relativi attacchi informatici:
Monitorare e rispondere agli avvisi: assicurarsi che gli strumenti, i processi e le risorse (persone) siano disponibili per monitorare, indagare e rispondere alle minacce rilevate nell’ambiente. Gli aggressori ransomware spesso programmano il loro attacco durante le ore non lavorative, nei fine settimana o durante le vacanze, partendo dal presupposto che pochi o nessuno del personale IT stia monitorando.
Imposta e applica password complesse: le password complesse sono una delle prime linee di difesa. Le password devono essere univoche o complesse e mai riutilizzate. Questo è più facile da fare se fornisci al personale un gestore di password in grado di memorizzare le credenziali.
Multi Factor Authentication (MFA): Anche le password complesse possono essere compromesse. L’autenticazione a più fattori è uno strumento utile proteggere l’accesso a risorse critiche come posta elettronica, strumenti di gestione remota e risorse di rete.
Blocca i servizi accessibili: esegui scansioni della rete della tua organizzazione dall’esterno, identifica e blocca le porte solitamente utilizzate da VNC, RDP o altri strumenti di accesso remoto. Se una macchina deve essere raggiungibile utilizzando uno strumento di gestione remota, metti tale strumento dietro una VPN o una soluzione di accesso alla rete zero-trust che utilizza MFA come parte del suo login.
Segmentazione e Zero-Trust: separa i server tra di loro e dalle workstation inserendoli in VLAN separate mentre lavori a un modello di rete zero-trust.
Effettua backup offline di informazioni e applicazioni: tienili aggiornati e conserva una copia offline.
Fai l’inventario delle tue risorse e dei tuoi account: i dispositivi non protetti e privi di patch nella rete aumentano il rischio e creano una situazione in cui le attività dannose potrebbero passare inosservate. È fondamentale disporre di un inventario aggiornato di tutti i computer collegati e dei dispositivi IoT (Interneto of Things). Utilizza scansioni di rete e controlli fisici per individuarli e catalogarli.
Installa una protezione a più livelli per bloccare gli aggressori nel maggior numero possibile di punti ed estendi tale sicurezza a tutti gli endpoint consentiti sulla tua rete.
Configurazione del prodotto: È importante assicurarsi che le soluzioni di sicurezza siano configurate correttamente e aggiornare regolarmente le policy. Le nuove funzionalità non sono sempre abilitate automaticamente.
Active Directory (AD): Effettua controlli regolari su tutti gli account in AD, assicurandoti che nessuno abbia più privilegi del necessario per il proprio lavoro. Disabilita inoltre gli account dei dipendenti che lasciano l’azienda.
Aggiorna tutto: tieni aggiornati Windows e altri software. Questo permette di controllare che le patch siano state installate correttamente e, in particolare, siano presenti per sistemi critici come macchine con connessione a Internet o controller di dominio.
Ulteriori consigli per la sicurezza
Comprendere le tattiche, le tecniche e le procedure (TTP) che gli aggressori possono utilizzare e come individuare i primi segnali di allarme di un attacco imminente.
Avere un piano di risposta agli incidenti che viene continuamente rivisto e aggiornato per riflettere i cambiamenti che avvengono nel tuo ambiente IT e che influiscono sul livello di rischio.
Rivolgiti al supporto esterno se non disponi delle risorse o delle competenze interne per monitorare l’attività sulla rete o rispondere a un incidente.
Se vieni colpito, ci sono esperti disponibili 24 ore su 24, 7 giorni su 7, cui puoi far riferimento per contenere e neutralizzare l’attacco.