Saper interpretare un log e riconoscere un’anomalia comportamentale, soprattutto in giorni e orari non lavorativi, ridurrà inevitabilmente il rischio di compromissione.
Recentemente il team di Incident Response di Cyberoo è stato ingaggiato a seguito di un attacco Ransomware totale (esfiltrazione, server cifrati e backup distrutti) a danno di una media impresa italiana.
L’attacco è stato devastante. 30 anni di dati distrutti in pochi istanti con relative conseguenze ancora in corso: personale in cassa integrazione, fatturato crollato e perdita di vantaggio competitivo.
La ricostruzione dei fatti
Ricostruire la catena degli eventi è stato difficoltoso: gli unici log disponibili erano quelli del firewall e della NAS. Analizzando il firewall il team di IR ha riscontrato una versione del software vulnerabile, nota e documentata da una recente CVE. Tale vulnerabilità è tipicamente utilizzata per esfiltrare le credenziali degli utenti attestati nel firewall.
Non solo: dalla configurazione è emerso inoltre l’utilizzo dell’utente Domain Administrator per interrogare il server LDAP e validare l’autenticazione delle VPN. Con pochissimo sforzo l’attaccante ha ottenuto le credenziali di accesso locali (per poi instaurare una connessione VPN da un IP dell’Asia orientale) e le credenziali di domain admin.
Dai log della NAS sono emersi invece login provenienti da un indirizzo IP legato al pool delle VPN e la cancellazione dei contenuti. Correlando queste informazioni è stata identificata data e ora della connessione VPN sospetta. L’assenza dell’MFA ha poi contribuito a tutto il resto.
Osservando la configurazione del FW, il team di Incident Response ha notato che tale anomalia comportamentale (VPN da IP sospetto) era stata segnalata tramite e-mail allo staff IT passando però inosservata come la gran parte delle segnalazioni inviate in orario non lavorativo.
La mancata gestione delle segnalazioni e i domain controller sprovvisti di EDR a causa dell’obsolescenza del sistema operativo sono state cause e concause di quanto accaduto.
Conclusioni
Quanto emerso ha evidenziato due aspetti fondamentali in ambito di prevenzione.
Il primo è riconducibile all’assenza di una adeguata gestione delle segnalazioni. Inutile disporre di tante notifiche se poi non verranno analizzate da occhi esperti, in tempo reale e utilizzate ad hoc per le dovute contromisure. Considerando che le infrastrutture informatiche, a differenza del personale, sono operative 24/7, è impensabile che la sola gestione “ordinaria” possa bastare a garantire la sicurezza informatica aziendale. È necessaria una supervisione qualificata e costante, una catena di soccorso efficiente e tecnologie in grado di automatizzare il processo di intervento (automatic remediation).
Secondo: l’obsolescenza dei sistemi informatici, unita alla mancanza dell’autenticazione a più fattori, sono e saranno sempre il desiderio di ogni attaccante.