Bloccato e preso in ostaggio: la battaglia di un comune contro il crimine informatico

Il comune, in questo caso, è stato alquanto fortunato. Il team addetto alla sicurezza ha rilevato l'attacco immediatamente dopo che era stato sferrato, riuscendo ad isolare il segmento di rete preso di mira per limitare i danni. 

Anche se il reparto contro cui era stato diretto l'attacco aveva dovuto riprendere a lavoro "come ai vecchi tempi" (secondo quanto riferito dagli interessati), ossia senza l'uso di tecnologie, gli altri reparti sono riusciti ad uscire per lo più indenni. Ciò nonostante, il recupero ha richiesto mesi di lavoro con problemi di downtime che hanno reso i servizi mission-critical forniti dal reparto non disponibili per la comunità.

In che modo il criminale è riuscito ad accedere alla rete del comune? Dalle indagini, è risultato che il criminale sia riuscito ad utilizzare l'account violato del rivenditore (vi ricordate del tizio dei dispositivi HVAC?) per accedere ad un endpoint del sistema HVAC tramite la VPN del comune. Una volta effettuata la connessione, gli hacker sono riusciti ad acquisire le credenziali con privilegi per ottenere autorizzazioni che usano privilegi elevati e utilizzare il computer della vittima per spostarsi lateralmente all'interno della rete. 

Purtroppo, questa situazione si verifica comunemente. Le violazioni di dati e gli attacchi ransomware, spesso, iniziano con una violazione delle credenziali di accesso di un vendor. Prendere di mira i vendor può risultare redditizio per i gruppi di ransomware, che così riescono ad accedere potenzialmente alle credenziali di più obiettivi violando una sola organizzazione.

Anche se questo metodo di accesso sembra aver preso abbastanza piede negli ultimi tempi, non è l'unico modo per infiltrarsi all'interno delle organizzazioni. Tradizionalmente, i due principali vettori di infezione per le minacce ransomware sono rappresentati dalle e-mail di phishing e dagli attacchi RDP (Remote Desktop Protocol).

Il phishing è ancora una tecnica super efficace perché la tecnologia ha reso le e-mail di phishing ancora più difficili da individuare: anche i professionisti più esperti possono essere ingannati da alcuni di questi messaggi ben elaborati che sembrano autentici. Sono finiti i giorni delle truffe alla nigeriana che erano scritte davvero male.

Per qualche motivo, alcune organizzazioni non sono riuscite a capire che disporre di connessioni RDP (Remote Desktop Protocol) aperte a Internet è un'idea pessima. I criminali le individuano molto rapidamente e, dopo aver sferrato attacchi di forza bruta per penetrare nei sistemi presi di mira, inviano un messaggio con cui richiedono il pagamento di un riscatto. 

I criminali possono farsi strada con metodi collaudati: usando il social engineering, rubando le credenziali e lasciando in giro chiavette USB compromesse.

Il ransomware si è evoluto notevolmente nell'ultimo decennio, passando dai semplici malware che bloccano i file (meglio noti come cryptolocker) ad attacchi sofisticati progettati per massimizzare l'impatto e i profitti. In passato, gli autori di attacchi ransomware crittografavano i file delle loro vittime, richiedendo poi un pagamento in cambio delle chiavi per decrittografarli. 

Questa tattica si è evoluta fino a violare intere reti, inclusi i sistemi di backup e ripristino, per limitare la capacità di recupero da parte delle vittime.  Nel corso del tempo, le organizzazioni hanno iniziato a migliorare i propri sistemi di cybersecurity, ad esempio, con sistemi di backup più solidi, il che ha notevolmente ridotto l'impatto esercitato dagli attacchi basati sulla crittografia.

E cosa avrebbero dovuto fare i poveri malintenzionati? La posta in gioco era troppo alta per lasciar perdere tutto, quindi, i criminali informatici si sono adattati alla situazione emergente incorporando nuove soluzioni ransomware, che hanno dato origine ad un'epoca caratterizzata da un nuovo tipo di ransomware cosiddetto a "doppia estorsione".

Il ransomware a doppia estorsione è una particolare infezione di ransomware che include due attacchi distinti: la crittografia di dati critici e l'esfiltrazione di file crittografati con la minaccia di rendere le informazioni sensibili pubblicamente disponibili se non viene pagato il riscatto richiesto. 

Questa tattica ha aumentato sempre più la pressione esercitata sulle vittime perché ha trasformato gli attacchi ransomware da una preoccupazione principalmente operativa in un serio rischio di violazione dei dati con potenziali implicazioni di tipo legale o normativo ed eventuali danni alla reputazione. 

È stato questo il caso dei nostri amici che lavorano per il comune. Prima di avviare la fase di crittografia dell'attacco, il gruppo di ransomware ha esfiltrato vari GB di dati, minacciando di renderli disponibili sul dark web se le loro richieste non fossero state soddisfatte.

A questo punto, la situazione si fa complessa. Le forze dell'ordine di qualsiasi livello, dalle autorità locali all'FBI, alla CISA, ecc., consigliano di non pagare il riscatto richiesto dai criminali. Lo stesso consiglio viene dato praticamente da tutti gli addetti alla sicurezza, inclusi quelli che lavorano presso i vendor di sistemi operativi, come Microsoft, e di soluzioni antivirus/anti-malware. 

La ragione alla base di questo consiglio è semplice: finché le organizzazioni continueranno a pagare il riscatto richiesto, i criminali informatici continueranno a sferrare i loro attacchi informatici. Una volta effettuato il pagamento (in bitcoin o altre criptovalute), nessuno può garantire che verrà fornita la chiave di decrittografia né che lo strumento di decrittografia funzionerà o che la vostra azienda non verrà nuovamente presa di mira. 

Al contrario, in realtà, poiché il criminale si trova ancora, molto probabilmente, all'interno dell'ambiente preso di mira e poiché il riscatto è stato pagato già una volta, ci sono buone possibilità che il riscatto verrà pagato di nuovo. 

Diverse organizzazioni che operano nel settore della sicurezza riferiscono che circa il 78% delle organizzazioni che paga un riscatto viene nuovamente preso di mira dai criminali. Quindi, basta non pagare il riscatto, no? In realtà, le cose non sono così semplici. A seconda della gravità dell'attacco, un'organizzazione potrebbe non essere in grado di riprendersi senza pagare il riscatto. 

Se il criminale riesce ad accedere alle copie di backup, sicuramente andrà a crittografarle (l'attacco inizierà proprio con i backup). Senza le copie di backup, non è possibile ripristinare l'infrastruttura. Anche se esistono backup utilizzabili, molte organizzazioni cercano di ricostruire tutto da capo perdendo tempo e denaro. 

Le organizzazioni più grandi, visto che i costi necessari per ricostruire e ripristinare i propri ambienti potrebbero superare di gran lunga il prezzo del riscatto richiesto, semplicemente non possono permettersi di NON pagare. 

Inoltre, non va trascurato il fattore tempo. Il ripristino degli ambienti può richiedere settimane o, persino, mesi di lavoro e, nel frattempo, i servizi mission-critical su cui si basano i dipendenti dell'organizzazione non sono disponibili. Inoltre, la necessità di far ripristinare questi servizi può esercitare una pressione enorme. 

Il processo di ripristino è solo una parte della storia. Come abbiamo detto in precedenza, la maggior parte dei gruppi di ransomware ora utilizzano i malware a doppia estorsione, quindi rubano prima tutti i dati per poi crittografarli. 

Le organizzazioni devono, quindi, affrontare la minaccia di vedere pubblicamente disponibili le loro informazioni sensibili, da cui possono derivare danni ai loro brand, mancanza di fiducia da parte dei clienti e potenziali multe o altre sanzioni. La vittima di un attacco potrebbe incorrere in sanzioni per mancata conformità alle leggi sulla privacy, quindi dover anche fornire il monitoraggio dei crediti ai dipendenti le cui informazioni sono state rubate durante la violazione.

Se aggiungiamo questi costi alle spese già sostenute dalle vittime per il ripristino dei loro ambienti, ne risulta un incubo da un punto di vista finanziario. In alcuni casi, i risultati sono catastrofici e le organizzazioni, semplicemente, non riescono a riprendersi dall'attacco subito. 

Nel 2022, il Lincoln College nello stato dell'Illinois (USA) ha dovuto chiudere in modo permanente a causa di un attacco ransomware. Questo college americano, che già attraversava un periodo di turbolenza finanziaria a causa della pandemia di COVID-19, non era riuscito a pagare il riscatto richiesto e la sua mancanza di preparazione e risposta agli incidenti era stata tale da non lasciare adito ad alcun intervento di mitigazione. 

Di conseguenza, il college ha dovuto chiudere i battenti dopo 157 anni di onorata attività: un epilogo davvero doloroso.

In definitiva, pagare un riscatto è una decisione aziendale. Alcuni fattori influiscono su questa decisione, come evidenziato nelle seguenti domande:

• Qual è l'impatto esercitato sull'azienda se il riscatto non viene pagato?

• Qual è l'impatto esercitato sull'azienda se si verifica una fuga dei dati esfiltrati?

• I sistemi possono riprendersi se il riscatto non viene pagato?

Il comune di cui parliamo nella nostra storia non ha pagato il riscatto richiesto dal criminale, riuscendo, invece, a negoziare con il gruppo di ransomware e a ridurre notevolmente la somma da pagare. Il comune è stato abbastanza fortunato da riuscire a ripristinare i propri sistemi compromessi senza la chiave necessaria per decrittografarli. 

Tuttavia, è stato necessario informare molte persone riguardo alla violazione delle loro informazioni sensibili e offrire un servizio di monitoraggio dei crediti a tutte le persone interessate. Ciò nonostante, bisogna dire che poteva andare molto peggio.

Siete ancora preoccupati? E fate bene. Pensare di cadere vittime di un attacco ransomware fa paura, ma non deve farvi preoccupare. Disporre di un piano apposito e prepararsi in anticipo sono azioni che possono ridurre la gravità di un attacco ransomware o, addirittura, impedirlo. 

Ecco alcune strategie da poter implementare subito, tra cui:

• Backup dei dati

• Firewall DNS

• Segmentazione

• Accesso alle applicazioni Zero Trust

Assicuratevi di aver adottato un'ottima strategia per il backup dei dati (non semplicemente buona in questo caso). Dovrete assicurarvi di eseguire più copie di backup; idealmente, almeno una copia dovrebbe essere isolata in un altro sistema, in modo da evitare che i criminali possano accedervi. Le copie di backup sono uno dei primi obiettivi di un attacco, quindi assicuratevi che i criminali non riescano ad individuarle. 

Non dimenticate di fare pratiche delle procedure di ripristino. Il backup dei dati è necessario, ma diventa una procedura difficilissima che è, praticamente, meglio evitare se non avete dimestichezza con le operazioni da eseguire per ripristinare i vostri sistemi. Preparatevi in modo adeguato per ripristinare qualsiasi componente, specialmente le app mission-critical, i dati sensibili e l'infrastruttura.

Le e-mail di phishing sono il vettore di infezione più comune per i ransomware. Per quanto possiate provare, non riuscirete ad impedire alle persone di fare clic sulle e-mail di phishing o su altri link inviati per scopi dannosi. Tuttavia, potete minimizzare l'impatto di queste minacce. 

Quando fate clic su un link inviato per scopi dannosi o aprite un allegato sospetto, il vostro sistema effettua una ricerca del dominio dannoso nel DNS. Un firewall DNS riesce a bloccare la risoluzione del dominio dannoso e ad impedire il funzionamento del link. Inoltre, un firewall DNS può bloccare simili richieste di connessione ai domini di malware noti e all'infrastruttura C2 (Command and Control). 

Akamai Secure Internet Access è una scelta ottima per un firewall DNS. I team addetti alla ricerca sulle minacce di Akamai utilizzano algoritmi avanzati per bloccare in modo proattivo la risoluzione dei domini dannosi e la soluzione presenta anche una protezione dagli attacchi di phishing zero-day. 

La situazione va anche meglio per la comunità delle amministrazioni SLTT (State, Local, Tribal and Territorial). Una versione gratuita di Secure Internet Access è disponibile per i membri dell'MS-ISAC tramite il loro servizio MDBR (Malicious Domain Blocking and Reporting). 

Per le organizzazioni che hanno bisogno di una protezione maggiore, Secure Internet Access è disponibile nel formato MDBR+ fornito dall'MS-ISAC, mentre il CIS CyberMarket offre prezzi scontati per i membri dell'MS-ISAC che desiderano acquistare i prodotti direttamente da Akamai.

La triste realtà è che non si tratta di vedere se si verificherà una violazione di dati, ma piuttosto quando si verificherà. Quando si verifica una violazione, il criminale ha la possibilità di spostarsi lateralmente nel vostro ambiente per diffondere il suo software dannoso? 

Implementare una soluzione di segmentazione è fondamentale per controllare il movimento laterale. Una segmentazione di base è utile, ma i risultati possono comunque risultare devastanti. 

Abbiamo già parlato di questo comune che è stato in grado di disconnettere da tutti gli altri reparti il segmento della sua rete interessato dall'attacco, ma il criminale è comunque riuscito a sferrare un attacco ransomware devastante. I servizi mission-critical del comune sono stati interrotti per un lungo periodo di tempo, causando importanti costi economici e danni alla reputazione del brand. 

I metodi di segmentazione tradizionali utilizzano i controlli di livello 2 e 3 sotto forma di VLAN, controlli del firewall ed elenchi di controllo degli accessi. Un approccio più efficace consiste nella microsegmentazione. Adottando un approccio basato su software, potete controllare la segmentazione al livello dell'host per contenere ulteriormente la portata dell'attacco in caso di una violazione. 

Akamai Guardicore Segmentation è la soluzione leader del settore. Akamai Guardicore Segmentation è una soluzione firewall basata su host che vi offre visibilità su tutto il traffico della rete nel vostro ambiente in modo da poter sapere non solo quali dispositivi comunicano tra loro, ma anche quali contenuti vengono trasmessi. 

In tal modo, potrete ricevere anche informazioni contestuali al livello 7 riguardo ai processi eseguiti su ciascun sistema. 

Questa visibilità vi consente di creare policy tali da consentire solo le comunicazioni richieste per far funzionare nel modo desiderato la vostra rete e le vostre applicazioni. Tutto ciò che non è specificamente consentito viene bloccato, quindi, nel caso di una violazione, il criminale non può spostarli lateralmente verso altri sistemi né eseguire processi tali da ottenere privilegi più elevati. 

Questo approccio basato su software può rendere i progetti di segmentazione più semplici e rapidi da completare, migliorando così i sistemi di sicurezza e velocizzando il ROI.

Nella nostra storia sul comune americano colpito da un attacco ransomware, il vettore di infezione era stato un account VPN violato. Le VPN hanno fatto il loro tempo; invece, per fronteggiare gli odierni attacchi, le organizzazioni hanno bisogno di qualcosa di meglio. 

L'accesso ad una VPN concede all'utente di entrare nella rete, quindi, se l'utente sa cosa sta facendo, può accedere a qualunque elemento che si trovi su quel segmento di rete, indipendentemente dal fatto che sia o meno autorizzato a farlo. Come abbiamo appreso, la violazione delle credenziali può portare a risultati disastrosi. 

Un approccio migliore sarebbe quello di sostituire le VPN con una soluzione di accesso alle applicazioni Zero Trust. I prodotti di questo tipo consentono agli utenti di effettuare un solo accesso esclusivamente alle risorse necessarie per svolgere il loro lavoro e nulla più. Gli utenti non possono accedere ad alcun elemento se non sono stati autorizzati ad utilizzarlo. 

La soluzione Akamai Enterprise Application Access rappresenta un'ottima scelta per soddisfare queste esigenze. Il nostro servizio proxy basato sulle applicazioni consente di accedere facilmente alle applicazioni, indipendentemente dal punto in cui si trova la loro origine o in cui l'utente accede alle risorse necessarie. Enterprise Application Access può anche aiutare a risolvere quelle fastidiose sessioni RDP (Remote Desktop Protocol) che non sono state ancora rimosse da Internet. Potete anche consentire di accedere alle sessioni RDP (Remote Desktop Protocol) e SSH tramite il browser web, che risulta la scelta ideale per l'accesso dei vendor di terze parti.