Aziende sotto attacco

Gli attacchi ransomware continuano a investire organizzazioni di tutte le dimensioni e settori.

Il numero di incidenti che coinvolgono ransomware è in netto aumento, come gli esempi di Canon, Garmin, CWT, Enel e Honda dimostrano. Gli effetti di un attacco non sono limitati all’azienda che lo ha subito ma si propagano a tutta la Supply Chain, creando spesso ripercussioni tecnologiche economiche a clienti e fornitori dell’organizzazione colpita.

Ma, di cosa, stiamo parlando esattamente? Vediamolo insieme.

HONDA ED ENEL

Primi giorni di Giugno 2020 ed entrambe le aziende vengono colpite da EKANS. L’analisi di EKANS dimostra come gli autori del ransomware abbiano affinato le loro tecniche per colpire con precisione millimetrica le vittime. Il malware, distribuito probabilmente attraverso la compromissione di collegamenti RDP (Remote Desktop Protocol) integra una serie di funzioni estremamente particolari.
Dalle notizie scaturite pare che EKANS sia stato pensato specificatamente per colpire sistemi industriali e unisca caratteristiche mutuate da altri malware simili, utilizzando anche una serie di controlli incrociati, come l’analisi della rete in cui viene iniettato, per verificare di aver colpito il bersaglio giusto. Entrambe le aziende si sono riprese dall’attacco senza incorrere nel pagamento del riscatto.

CANON

Sempre nel 2020 Canon subisce un nuovo attacco ransomware e contemporaneamente il sito Image.canon rileva malfunzionamenti. BleepingComputer ha scoperto contattando gli operatori che si celano dietro il presunto l’attacco Ransomware a Canon che, attraverso il malware MAZE, sono stati crittografati circa 10TB di dati e database privati e, allo stesso tempo, che questo non aveva nulla a che fare con il blocco del sito. Resta comunque il Breach che ha portato Canon a sospendere il servizio per non rischiare ulteriori compromissioni.

Quando i sistemi di recovery sono inefficaci

Honda, Enel, Canon: queste aziende hanno potuto superare gli attacchi subiti e ripristinare i propri sistemi senza la necessità di pagare un riscatto. Ma non sempre va così.

CWT

Pare che la società di viaggi statunitensi CWT abbia pagato 414 BitCoin (circa 4,5 milioni di dollari) agli hacker che hanno rubato i loro 2TB di dati sensibili e messo offline più di 30.000 computer. Gli attaccanti hanno utilizzato un ceppo di ransomware chiamato RAGNAR LOCKER, che crittografa i file del computer e li rende inutilizzabili fino a quando la vittima paga per il ripristino.
I successivi negoziati tra gli hacker e un rappresentante CWT sono rimasti accessibili al pubblico in un gruppo di chat online. CWT ha confermato l’attacco ma ha rifiutato di commentare i dettagli di ciò che ha detto essere un’indagine in corso.

GARMIN

Il 23 luglio 2020 Garmin ha subito un’interruzione di servizio in tutto il mondo: i clienti non hanno potuto più accedere ai loro servizi, tra cui le soluzioni Garmin Connect, flyGarmin, Strava, inReach. Dopo che alcuni dipendenti hanno condiviso foto di workstation crittografate, è stato confermato che un attacco informatico da parte del ransomware WastedLocker.
Stando alle prime analisi, i cybercriminali sono riusciti a bucare i sistemi di Garmin grazie a una vulnerabilità individuata in uno dei server aziendali della sede di Taiwan. Il ransomware ha inizialmente infettato la rete locale per poi estendersi in tutta l’infrastruttura di Garmin. In un primo momento le notizie che trapelavano erano quelle di un ritorno al funzionamento grazie al repentino ripristino di un backup, successivamente BleepingComputer ha potuto esaminare un file eseguibile creato dal reparto IT di Garmin per decifrare una workstation e hanno scoperto che all’interno di questo eseguibile vi erano le tracce del pagamento del riscatto.

WastedLocker è un ransomware senza punti deboli noti nel loro algoritmo di crittografia. Questa mancanza di difetti significa che un decryptor non può essere fatto gratuitamente. Per ottenere una chiave di decrittazione di lavoro, Garmin deve aver pagato il riscatto agli aggressori. Non è noto quanto sia stato pagato ma pare che la cifra si aggirasse sui 10 milioni di dollari.

Se prendiamo in considerazione questi ultimi due casi dove le aziende hanno pagato il riscatto possiamo pensare che le soluzioni adottate per il recovery non abbiano funzionato come dovevano, con backup crittografati o ripristini inconsistenti. Entrambe le possibilità porterebbero ad una configurazione non sicura di questo elemento fondamentale; il backup sta diventando sempre di più un elemento importantissimo quando entrano in gioco i ransomware. L’idea di una conservazione a freddo del backup o su TAPE o su CLOUD ma comunque scollegato dal sistema può diventare un’ancora di salvataggio fondamentale nella catena del ripristino a seguito di un breach di queste portate.

Cosa sta succedendo?

Ciò che è chiaro è che i criminali informatici hanno colto le opportunità presentate dalla pandemia e probabilmente vedremo sempre più aziende cadere vittime degli attacchi. I vettori di questi attacchi sono sempre i medesimi che vanno da post di social media, smishing (messaggio di testo di phishing) e, soprattutto, e-mail phishing restano un punto fermo anche le vulnerabilità dei sistemi esposti e soprattutto i dispositivi BYOD.

Il SOCIAL ENGINEERING si basa sulla manipolazione delle emozioni umane per bypassare il nostro livello di guardia. I criminali informatici sfruttano situazioni incerte o emotive per influenzare le persone a intraprendere azioni che in genere eviterebbero. Pertanto il picco di incidenti dietro questi attacchi non dovrebbe essere una sorpresa dato i drastici cambiamenti alle pratiche di lavoro sotto lockdown.

Durante la pandemia, gli aggressori stanno approfittando del fatto che molti dipendenti hanno lavorato da casa, senza le protezioni che le loro reti aziendali spesso forniscono. Inoltre, molti dipendenti lavorano dai propri personal computer, spesso condivisi con i membri della famiglia, elaborando informazioni sensibili e potenzialmente personali senza il vantaggio di una protezione endpoint gestita o persino di programmi di applicazione delle patch.

Cosa dovrebbe fare un Security Manager?

Qui elencati alcuni consigli o best practice che possono contribuire a proteggere la propria organizzazione:

1. Utilizzare una rete privata virtuale (VPN): Quando possibile, chiedi ai dipendenti di connettersi da computer e dispositivi gestiti dall’azienda tramite una VPN alla rete aziendale. Assicurati che tutto il traffico sia sottoposto a tunneling tramite questa connessione. Ciò consentirà a molte delle protezioni di applicarsi al traffico generato da casa.
2. Richiedere l’autenticazione a più fattori (MFA): Attiva l’autenticazione a più fattori per l’accesso esterno a tutte le applicazioni, in particolare quelle sensibili, ad esempio la posta elettronica, il protocollo RDP (Remote Desktop Protocol) e le VPN, nonché per gli account amministrativi.
3. Bloccare l’RDP: Il vettore di attacco RDP è regolarmente preso di mira da attacchi ransomware. Disabilita RDP dove non è necessario. Applica configurazioni protette in cui RDP è abilitato, incluso l’utilizzo di password complesse (almeno 16 caratteri di lunghezza) e MFA.
4. Dispositivi personali sicuri (BYOD): Implementa la gestione dei dispositivi mobili (MDM, Mobile Device Management) per i dispositivi personali utilizzati per accedere alla rete aziendale per gestire la configurazione, garantire gli aggiornamenti pianificati e consentire la cancellazione remota dei dispositivi smarriti o rubati.
5. Registrare e monitorare gli accessi: Identifica e monitora i tentativi di accesso riusciti e non riusciti e limita gli accessi dalle aree geografiche da cui è improbabile che i dipendenti si connettano.
6. Sistemi di patch: Adotta un sistema automatico di patch del sistema operativo e degli applicativi. Se possibile, consenti al personale IT di verificare che le patch siano aggiornate e fornire un prodotto di protezione endpoint di qualità da utilizzare nei dispositivi privati (BYOD).
7. Formazione Security Awareness: addestra i dipendenti su come riconoscere le minacce e le truffe comuni e su come segnalare eventuali incidenti di sicurezza sospetti. Conduci periodicamente esercizi di phishing per migliorare la consapevolezza della sicurezza e prepara i dipendenti per rispondere agli attacchi informatici.

Ottieni il controllo della sicurezza aziendale attraverso un percorso consapevole.

Guarda come possiamo aiutarti