lunedì 7 febbraio 2022

Ransomware Lockbit: l'FBI fornisce dettagli tecnici e consigli di difesa grazie alle informazioni inviate dalle aziende colpite

L'FBI ha pubblicato una relazione tecnica e numerosi indicatori di compromissione associati a LockBit, il ransonmware del quale abbiamo spesso parlato perché sta mietendo molteplici vittime anche in Italia. La relazione contiene anche indicazioni su come le organizzazioni possono bloccare i tentativi del gruppo ransomware di irrompere nelle proprie reti. Non è il primo alert pubblicato sul rischio Lockbit: già nell'Agosto del 2021 l'agenzia di Cybersecurity australiana avvisava tutte le aziende e le organizzazioni della repentina crescita del numero di attacchi di LockBit. 

LockBit in breve

  • è attivo dal Settembre 2019 come Ransomware as a Service (SaaS);
  • nel Giugno 2021 i suoi sviluppatori annunciando l'avvento della nuova versione di LockBit, la 2.0, con molte nuove funzionalità;
  • viene aggiunta la funzionalità di criptazione automatica dei dispositivi nei domini Windows tramite le policy di gruppo;
  • membri del gruppo iniziano a cercare insider per violare le aziende per ottenere accessi alle VN e agli RDP senza bisogno di gruppi intermediari;
  • nel Gennaio 2022 viene aggiunto un encryptor per Linux per colpire i server VMware ESXi. 

La relazione tecnica dell'FBI

Pochi giorni dopo la pubblicazione dell'alert da parte del governo australiano, il ransomware colpisce la più grande azienda di servizi IT al mondo, ovvero Accenture: il riscatto richiesto è di 50 milioni di dollari. Due mesi dopo sempre Accenture scopre anche un data breach: durante l'attacco di Agosto ha subito l'esfiltrazione di importanti informazioni proprietarie. L'FBI quindi si attiva e richiede alle aziende che hanno già subito attacchi di condividere le informazioni relative agli attacchi lanciati contro le reti aziendali.

La relazione tecnica tiene conto e ha rielaborato proprio di queste informazioni. Ecco qui le misure di mitigazione:

  • assicurarsi che tutti gli account con password di accesso (account di servizio, di amministrazione, di amministrazione di dominio ecc..) abbiano password complesse e sopratutto uniche, non in uso in alcun altro account;
  • implementare l'autenticazione multifattore per tutti i servizi, nella misura maggiore possibile con particolare attenzione per webmail, VPN e account che hanno accesso a sistemi critici;
  • mantenere aggiornati sistemi operativi e software, avendo come priorità il patching di vulnerabilità note già sfruttate in attacchi reali;
  • rimuovere gli accessi non necessari alle condivisioni amministrative, in particolare ADMIN$ e C$;
  • usare un firewall host-based che consenta soltanto connessioni alle condivisioni amministrative tramite SMB (Server Message Block) da un numero limitato di macchine dell'amministratore;
  • abilitare i file protetti su Windows per impedire modifiche non autorizzate ai file di rilevanza critica;

Gli amministratori possono anche ostacolare i tentativi della gang ransomware di rilevare la propria rete adottando ulteriori misure specifiche:

  • segmentare la rete per prevenire la diffusione del ransomware;
  • identificare, individuare e analizzare eventuale attività anomala con uno strumento di monitoraggio della rete;
  • implementare l'accesso a orario per gli account di livello amministrativo o superiori;
  • disabilitare le attività  e le permissioni di scripting e da riga di comando;
  • mantenere backup dei dati offline ed eseguirvi regolare manutenzione;
  • assicurarsi che tutti i dati di backup sia criptati, immutabili e coprano i dati dell'intera infrastruttura aziendale. 

Meglio non pagare il riscatto ma...

L'FBI ovviamente ribadisce che è sconsigliato pagare il riscatto e mette in guardia le aziende sul fatto che pagare non mette affatto al sicuro da futuri attacchi o data leaks. Inoltre, come l'agenzia ribadisce da anni, cedere alle richieste degli attaccanti finanzia ulteriormente le loro operazioni, consente di migliorare le infrastrutture di cui dispongono e li motiva ad attaccare più aziende. Incoraggia anche altri criminali a optare per la via del cybercrime. Si era arrivati al punto che Biden, dopo aver dichiarato i ransomware una emergenza nazionale, aveva minacciato di sanzioni quelle aziende che avessero "collaborato" con gli attaccanti.

Ora le cose paiono un pò cambiate: l'FBI ha riconosciuto che le conseguenze e ricadute di un attacco ransomware potrebbero costringere le aziende a considerare di pagare il riscatto in quei casi in cui il pagamento dello stesso sia un danno minore rispetto al danno che potrebbe conseguire ad azionisti, clienti e dipendenti. Ecco perché l'FBI consiglia comunque di rivolgersi al locale ufficio FBI anche dopo aver pagato il riscatto. L'attenzione dell'FBI si è infatti impostata sul mettere in condizione le aziende di prevenire, gestire e monitorare futuri attacchi, perseguendo gli attaccanti. 

Qui la relazione tecnica

Per saperne di più > Implementa un modello di sicurezza stratificato con Seqrite!

Nessun commento:

Posta un commento