Le statistiche parlano chiaro: l’aumento degli attacchi ransomware risulta trasversale a diverse organizzazioni, indipendentemente dal loro settore di appartenenza. Questo fenomeno può essere attribuito a vari fattori, tra cui la mancanza di investimenti adeguati nel rinnovamento dell’infrastruttura IT e nella formazione specifica in materia di cybersecurity.
Incident: storia di un caso ransomware
Alle 7 del mattino, il SOC (Security Operations Center) di Cyberoo, operativo 24 ore su 24, 365 giorni all’anno, riceve una segnalazione tramite il Black Button presente sul sito web (www.cyberoo.com) dal responsabile IT di un’azienda italiana.
Il quadro non lasciava dubbi: infrastruttura server cifrata, segni di esfiltrazione e richiesta di riscatto da parte del gruppo criminale: attacco ransomware. Una notizia buona però c’era: i backup erano integri.
Fin dall’inizio le indagini sono risultate complesse visto il grado di compromissione dell’infrastruttura: a parte le consolle del firewall e dell’EDR, non c’era altro per raccogliere informazioni utili alla ricostruzione dell’attacco.
Solo dopo la ricostruzione dell’infrastruttura e la verifica dei backup è stato possibile analizzare le virtual machine (VM) e raccogliere elementi utili per ricostruire la catena degli eventi. È stato necessario incrociare i dati delle autenticazioni di dominio, gli accessi VPN ed altri artefatti per determinare con ragionevole certezza che era stato violato l’account di un dipendente dell’organizzazione, sfogliata una share documentale contenente un file con tutte le credenziali di accesso dell’infrastruttura IT e scaricati tools per comprimere ed esfiltrare i dati.
Ulteriori indagini sull’endpoint, ovvero un PC personale del dipendente usato per la connessione VPN, hanno confermato la compromissione di tale endpoint tramite un malware di tipo stealer.
Conclusioni
Questo caso sottolinea l’importanza di percepire la formazione non come un mero adempimento burocratico imposto dall’alto, ma come uno strumento essenziale per accrescere la consapevolezza e le competenze in materia di sicurezza informatica. Fino ad allora, gli attaccanti la vinceranno sempre facile.
È opportuno creare consapevolezza a tutti i livelli aziendali:
- a partire dal management, spesso riluttante nell’utilizzare i sistemi per la doppia autenticazione o altri sistemi di sicurezza di base,
- al personale IT, che ancora troppo spesso salva le credenziali di accesso all’interno di un NAS o di un file server,
- all’impiegato, che usa la sua e-mail aziendale (e la stessa password) per accedere ai social network.