Skip to main content

Di recente, un’azienda del Nord Italia è stata vittima di un grave attacco informatico che ha causato la compromissione dell’infrastruttura e l’interruzione delle operazioni. 

I responsabili dell’attacco malevolo sono riusciti ad accedere all’infrastruttura in modo non autorizzato attraverso una connessione VPN e hanno distribuito un ransomware, crittografando diversi server.

L’attacco: Ransomware as a Service

A rivendicare l’attacco sul suo Data Leak Site (DLS), la cyber gang criminale LockBit, che adotta il modello Ransomware as a Service (RaaS).

Il ransomware è una tipologia di malware che viene inoculato all’interno di una organizzazione per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare. Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Il Ransomware as a Service di LockBit viene utilizzato per attacchi altamente mirati contro aziende e altre organizzazioni specifiche. Gli “affiliati” di LockBit depositano del denaro per l’uso di attacchi personalizzati su commissione e traggono profitto da un quadro di affiliazione. I pagamenti del riscatto sono divisi tra il team di sviluppatori LockBit e gli affiliati attaccanti, che ricevono fino a ¾ dei fondi del riscatto.

È considerato da molte autorità parte della famiglia di malware “LockerGoga & MegaCortex”. Ciò significa semplicemente che condivide i comportamenti con queste forme consolidate di ransomware mirato ed ha il potere di auto-propagarsi una volta eseguito all’interno di una rete informatica.

L’Incident Response

L’Incident Response Team di Cyberoo è stato incaricato di condurre un’indagine approfondita sull’incidente e di fornire raccomandazioni utili per evitare il ripetersi di attacchi simili. L’obiettivo principale dell’indagine è stato quello di determinare le tattiche, tecniche e procedure (TTP) utilizzate dagli attaccanti, oltre a ricostruire come e quando hanno ottenuto l’accesso alla rete.

Per quanto questa modalità di accesso dell’attaccante possa sembrare a prima vista semplice e, se vogliamo, addirittura banale, le analisi dell’Incident Response Team di Cyberoo hanno rilevato qualcosa di inaspettato durante le indagini.

L’analisi

Dalle analisi condotte da Cyberoo, si è osservato che l’attaccante non ha effettuato alcun tipo di attacco sul sistema VPN esposto. Difatti, l’attaccante è riuscito ad entrare all’interno della VPN con un’utenza valida. Tuttavia, l’attaccante non era nemmeno in possesso di un’utenza valida, semplicemente, è riuscito ad entrare con un’utenza esistente, ma senza conoscerne la password.

Cyberoo ha, difatti, scoperto uno scenario di vulnerabilità non dovuto alla specifica appliance connettore VPN, o al sistema di gestione delle credenziali (Domain Controller) ma da una configurazione di entrambi i sistemi che, messi insieme, hanno generato una vulnerabilità che altrimenti, singolarmente, non avrebbero avuto. Si tratta di sistemi Cisco e Microsoft.

La configurazione implementata sull’appliance VPN, unitamente a quella presente nel Domain Controller, ha fatto sì che utilizzando un utente presente e, letteralmente, qualunque possibile password, l’utente potesse accedere. Per questo, l’attaccante ha utilizzato un utente non nominale presente nella maggior parte dei sistemi e, semplicemente, inserendo una prima password di prova, ha avuto completo accesso al sistema.


Violazione VPN



La risposta

Il Team CYBEROO ha quindi messo al sicuro l’intera infrastruttura, ripristinando tempestivamente la postura di sicurezza aziendale e risolvendo la vulnerabilità.

Di seguito viene riportato uno stralcio della configurazione del connettore VPN per l’accesso al Domain Controller:

tunnel-group client type remote-access
tunnel-group client general-attributes
address-pool VPN02
authentication-server-group AD

aaa-server AD protocol ldap
aaa-server AD (vlan202) host 192.168.1.2
ldap-base-dn DC= client,DC=local
ldap-scope subtree
ldap-login-password *****

ldap-login-dn CN=asa,OU=Service Users,OU= client,DC= client,DC=local

server-type Microsoft