lunedì 22 giugno 2020

Gli operatori dei ransomware si nascondono nella tua rete dopo l'attacco (e ci restano)


Quando un'azienda subisce un attacco ransomware, molte vittime pensano che l'attaccante voglia soltanto distribuire più velocemente possibile il ransomware e andarsene subito dopo per ridurre il rischio di essere scoperto. Sfortunatamente la realtà è molto diversa anzi: gli attori dietro i ransomware non sono ben disposti a rinunciare velocemente ad una risorsa per prendere il controllo della quale hanno dovuto "lavorare duramente". Gli attacchi ransomware sono, al contrario, tutt'altro che veloci: vengono preparati e condotti col tempo. Possono passare anche giorni o mesi dal momento in cui l'attaccante viola la rete a quando distribuisce il ransomware. 

L'irruzione nella rete è il preludio di ogni attacco ransomware e può avvenire tramite servizi di desktop remoto esposti, vulnerabilità nei software (in particolare in questo periodo sono sotto attacco i software VPN) oppure sfruttando backdoor e accessi remoti lasciati da infezioni precedenti. Quest'ultimo caso merita due parole in più: vi sono dei malware che, una volta espletate le proprie funzioni (furto informazioni, credenziali ecc..) lasciano sulle macchine infette un accesso, molto spesso una backdoor: questi accessi, spesso non individuati per anni, restano nella rete e possono essere riutilizzati in qualsiasi momento. TrickBot, Dridex, QakBot sono tre esempi di malware che lasciano backdoor sulle macchine infette e le offrono ad altri malware (spesso dietro pagamento "del servizio"). 

Una volta ottenuto l'accesso sulla rete, gli attaccanti hanno a disposizione moltissimi tool per ottenere le credenziali di login e diffondersi lateralmente lungo la rete: i più popolari sono Mimikatz, PowerShell Empire e PSExec. A questo punto gli attaccanti, se le credenziali sono individuate, hanno accesso alla risorse di rete e possono mettere le mani sui file non criptati nei dispositivi di backup e nei server prima e dopo la distribuzione dell'attacco ransomware. 

Qui si crea l'equivoco dovuto alla convinzione errata che gli attaccanti semplicemente scompaiano dopo l'attacco: mentre le vittime si occupano di trovare un sistema di ripristinare i file, non si occupano di verificare che effettivamente nessun terzo non autorizzato non abbia accesso alla rete. Insomma, cercano un modo per riportare in chiaro i file ma non verificano la presenza di eventuali backdoor, non modificano le credenziali di accesso, lasciano aperte le medesime porte dai quali gli attaccanti possono rientrare. 

Un esempio pratico: Maze ruba i file dopo l'attacco ransomware
Maze non ha bisogno di presentazioni, ne abbiamo parlato molto (per chi volesse, qui una raccolta di articoli). Qualche giorni fa i suoi operatori hanno rivelato sul loro sito dedicato ai data leak di aver violato la rete di una filiate di ST Engineering, una importante multinazionale del settore ingegneristico e spaziale con sede a Singapore. 

Tra i dati pubblicati, chissà se con voluta ironia, gli attaccanti hanno inserito i report del dipartimento IT dell'azienda conseguente all'attacco ransomware. 

Fonte: bleepingcomputer.com

Parliamo quindi di un documento prodotto DOPO l'attacco ransomware, che dimostra alle vittime come gli attaccanti siano ancora attivi e presenti sulla rete, riuscendo a continuare a rubare documenti anche ad indagini in corso. 

Questo è un esempio come tanti, non una novità: sono centinaia i casi raccolti da ricercatori di sicurezza in cui gli attori dei ransomware hanno dimostrato alle vittime di poter leggere ancora le email, oppure casi in cui hanno deciso di criptare il backup della vittima dopo l'attacco iniziale o con negoziati ancora in corso. 

L'esperto risponde:
Alessandro Papini, esperto di cyber sicurezza e ransomware, fornisce alcuni consigli utili per affrontare i momenti conseguenti ad un attacco ransomware, oltre al mero tentativo di recupero file: 

"Una volta individuato un attacco ransomware, la prima operazione da compiere dovrebbe essere quella di mettere in down la rete e tutti i computer che sono in esecuzione su essa. Questa azione è fondamentale per impedire la criptazione di ulteriori file e per negare agli attaccanti l'accesso alla rete. Dopo, deve intervenire un'azienda specializzata, così che possa effettuare una approfondita analisi di tutti i dispositivi interni e di quelli disponibili al pubblico. Le verifiche devono cercare infezioni persistenti, vulnerabilità, password deboli e qualsiasi tool dannoso possa essere stato lasciato dai cyber attaccanti col loro passaggio. Con l'accesso alla rete infatti, gli attaccanti possono disattivare velocemente le difese e distribuire ransomware o altri malware. In questi casi, il team che deve occuparsi dell' Incident Response deve lavorare tenendo a mente, vero o meno che sia, che gli attaccanti siano ancora dentro la rete. La conseguenza? Salvare nella rete, come fatto nel caso di ST Engineering, i report che contengono l'analisi dello stato della rete e le soluzioni al problema è un vero e proprio autogol: gli attaccanti possono immediatamente prendere contromisure per cercare di salvaguardare la propria presenza nella rete. 

Oltre a queste analisi è utile verificare l'eventuale compromissione di tutti gli account con privilegi di amministrazione: modificarne le password è già un primo passaggio utile. 

Durante l'indagine forense è utile disporre di una soluzione di business continuity (da implementare ovviamente prima dell'attacco, come misura preventiva) che consenta un canale di comunicazione e di storage separato e sicuro. Tutte queste mosse possono essere utili anche durante i negoziati con gli attaccanti, permettendo di ribilanciare il rapporto di forza vittima - attaccante". 

Nessun commento:

Posta un commento