venerdì 22 aprile 2022

Ransomware Lockbit 2.0 colpisce ancora in Italia: il manuale di difesa

Non servono presentazioni per Lockbit 2.0. E' utile invece dire che, in poco meno di una settimana,   ASP Messina, Ingew, Jannone sono divenute le tre vittime più recenti. Nell'ultimo mese però Lockbit 2.0 ha colpito altre aziende italiane: nel conto sono da aggiungere anche Farmacia Statuto, Basso srl, Progetto edile srl ed altri. 

 

Fonte: leak site Lockbit 2.0

Il sito di leak di LockBit 2.0 elenca poi infiniti altri attacchi in giro nel mondo a riconferma della vivace attività di questo ransomware. Nel sito, per ogni vittima, è visibile l'indirizzo del sito web di riferimento, una breve descrizione e il logo, quindi il conto alla rovescia (ovvero le ore che mancano alla pubblicazione di una parte dei file rubati). In verde sono evidenziate le vittime i cui dati sono già stati pubblicati, in rosso quelle con countdown ancora in corso.

Fonte: leak site Lockbit 2.0


Un caso particolare è quello di Atento, un provider di servizi CMR brasiliano che ha subito, nell'ottobre dello scorso anno, un attacco di Lockbit 2.0. I danni ammontano, stando a cifre pubblicate dall'azienda stessa, a una perdita di profitti per 34.8 milioni di dollari e ulteriori 7.3 milioni di dollari di costi tecnici per mitigare i danni dell'attacco.

D'altronde che Lockbit sia una minaccia reale è confermato anche dall'attenzione che le agenzie di sicurezza dei governi di mezzo mondo gli stanno riservando. Uno dei più recenti avvisi di sicurezza su questa minaccia viene dall'FBI, che ha pubblicato non solo una grande quantità di dettagli tecnici sul ransomware (indicatori di compromissione compresi), ma anche molte indicazioni su come prevenire attacchi. Visto il momento, è forse utile scorrere un pò i punti principali: per il report completo rimandiamo a questo link.

Lockbit 2.0: uno sguardo generale

Lockbit opera come un Ransomware as a service: dispone di una lunga lista di affiliati che distribuiscono il ransomware, ormai quasi esclusivamente in attacchi mirati, e condividono i guadagni con i gestori del "servizio". Utilizza molte tecniche di intrusione nelle reti, evidenza che lo rende una grossa sfida di cyber sicurezza: fino ad ora è stato visto utilizzare accessi o credenziali di accesso comprati da altri gruppi di attaccanti, sfruttare vulnerabilità non patchate, insider access ma ha anche eseguito l'exploit di alcune vulnerabilità 0-day. Un volta compromessa la rete aziendale, guadagnato l'accesso, i tool utilizzati per l'attacco sono quasi tutti pubblicamente disponibili: un esempio è l'uso di Mimikatz per l'escalation dei privilegi. Un insieme di tool pubblicamente disponibili e personalizzati fa il resto: prima avviene il furto dei dati dai sistemi (esfiltrazione) quindi viene distribuito il ransomware, che procede alla criptazione dei dati. Infine compare la nota di riscatto. 

Inizia l'estorsione: pagare per riportare in chiaro i file e per non vedere pubblicati i dati rubati. Gli attaccanti pubblicano i riferimenti della vittima sul proprio site leak Onion, avviano il count down e si mettono in attesa di contatti per iniziare le trattative.

Lockbit 2.0 è l'evoluzione della versione base di Lockbit ed ha iniziato ad essere distribuito dal Luglio 2021. Ha una caratteristica peculiare: consente la criptazione automatica dei dispositivi attraverso i domini Windows abusando dei criteri di gruppo di Active Directory. Dall'Agosto 2021 il ransomware ha avviato una campagna per il reclutamento di insider dentro le aziende con la promessa di una parte dei profitti. Poco dopo è stata sviluppata anche una versione per Linux, capace di sfruttare le vulnerabilità delle macchine virtuali VMWare ESXi. Un report recente lo colloca al primo post per distacco nella classifica dei ransomware più veloci a criptare i dati.

Lockbit 2.0: uno sguardo più in profondità

L'FBI spiega che il codice è molto offucato e usa operazioni bit a bit (primitive, veloci) per decodificare le stringhe e caricare i moduli necessari per evadere l'individuazione da parte delle soluzioni di sicurezza.

Terminate queste operazioni, esegue un test per verificare la disponibilità o meno dei privilegi di amministrazione di cui abbisogna per operare. Nel caso questi non siano sufficienti, esegue un tentativo di escalation dei privilegi. A questo punto il ransomware esegue una verifica della lingua impostata sui sistemi è ha una lista di 13 lingue escluse (tutte dell'est europeo): se riscontrate, il malware si termina automaticamente.

Ora inizia l'attaco vero e proprio: il malware procedere ad eliminare tutti i file di log e le copie shadow di sistema per impedire qualsiasi possibilità di ripristino. Elenca quindi le informazioni di sistema (hostname, configurazione, informazioni di dominio, configurazione dei drive locali, condivisioni remote, dispositivi di storage esterni collegati). A questo punto avvia la criptazione di qualsiasi dato trovi salvato sui sistemi, locali e remoti: gli unici file che si salvano dalla criptazione sono quelli assiciati alle funzioni fondamentali del sistema.

Una volta terminata la criptazione, cancella ogni traccia di sé stesso a parte un processo di startup per garantirsi la persistenza.

La fase di esfiltrazione delle informazioni

Prima di procedere alla criptazione, Lockbit ruba le informazioni dal sistema: con queste opererà il ricatto sulla pubblicazione dei dati. Per fare ciò, gli affiliati di Lockbit usano l'applicazione Stealbit per esfiltrare specifici  tipi di file: questa applicazione è presente direttamente nel pannello di controllo di Lockbit e può essere configurata dall'affiliato. L'attaccante non deve fare altro che inserire il percorso file desiderato quindi il tool inizierà a copiare i file e ad inviarli tramite http ad un server sotto il controllo degli attaccanti. Alcuni affiliati hanno fatto ricorso anche a tool come MEGAsync o rclone. Molto frequente l'uso di servizi di sharing pubblicamente disponibili come privatlab[.]net, anonfiles[.]com, sendspace[.]com, fex[.]net, transfer[.]sh, send.exploit[.]in


COSA fare per difendersi

Premessa: i consigli forniti dall'FBI sono, come nella maggior parte dei casi, generali. Non sostituiscono i pareri tecnici che esperti nel campo della cyber security e nel penetration testing possono offrire sul caso specifico dopo test della rete.

Misure di Mitigazione

  • Qualsiasi account (di servizio, amministratore, amministratore di dominio) deve essere protetto con password solide ed uniche. E' estremamente pericoloso riutilizzare la stessa password per più account o tenerla salvata su più sistema ai quali gli attaccanti potrebbero avere accesso.  
  • Abilitare l'autenticazione a due fattori per tutti i servizi ove possibile sopratuto per VPN, servizi di webmail e account che hanno accesso a sistemi critici. 
  • Mantenere aggiornati sistemi operativi e software, iniziando intanto da quelle delle quali si sa già che sono sfruttate in attacchi. Patchare tempestivamente le vulnerabilità resta l'opzione più efficiente e conveniente per minimizzare i rischi. 
  • Eliminare ogni accesso non necessario alle condivisioni amministrative, soprattutto DMIN$ e C$. Sarà utile restringere i privilegi soltanto ai servizi e account utente necessari, con un monitoraggio continuo in cerca di attività anomala. 
  • Usare un firwall sui singoli host per concedere le connessioni via SMB alle condivisioni amministrative soltanto ad un numero limitato di macchine admin.
  • Abilitare i file protetti nel sistema operativo Windows, per prevenire modifiche non autorizzare sui file critici.


Contrasto alla mappatura della rete

  • Segmentare la rete per prevenire la diffusione del ransomware. La segmentazione di rete consente di controllare il flusso di traffico tra varie sottoreti e restringere i movimenti laterali degli attaccanti.
  • Identificare, individuare e analizzare ogni attività anomala e il potenziuale passaggio del ransomware usando tool di monitoraggio della rete. Questi tool forniscono log e report di tutto il traffico di rete, compresi i movimenti laterali. Le soluzioni EDR (Endpoint detection and response) sono particolarmente utili nell'invidivudare connessioni laterali, avendo uno sguardo nelle connessioni di rete comuni e nonc omuni per ogni singolo host.
  • Implementare il metodo just in time (JIT) a supporto del modello zero-trust.
    Nel modello JIT la policy di rete deve prevedere la disabilitazione automatica degli account di amministrazione a livello di AD quando questi account non hanno immediata necessità. Quando invece l'account è necessario, i singolo utenti inviano le proprie richiestre tramite rocessi automatizzati che consenstano l'accesso ad un sistema, ma solo per un predeterminato periodo di tempo necessario per eseguire il compito richiesto.
  • Disabilitare attività e permissioni di command-line e scripting poiché sia i movimenti laterali che l'escalation di privilegi spesso dipendono da tool che eseguono righe di comando.
  • Mantenere dei backup offline: esegui regolarmente i backup dei dati e mantieni la possibilità di ripristinarli. La regola aurea del backup prevede 3 copie per la massima siurezza: una in locale,una in cloud, una offline.
  • Assicurarsi che tutti i backup siano criptati ed immutabili, è fondamentale garantire l'integrità dei dati!

Nessun commento:

Posta un commento