Si parla spesso di tutela dei dati e di come proteggersi dalle esfiltrazioni, visto il continuo proliferare di attacchi malware e ransomware di diversi tipi. Ciononostante, la realtà dei fatti è che le aziende stanno facendo ancora troppo poco.
Di recente il team di Incident Response di Cyberoo è stato ingaggiato da un’azienda a seguito della compromissione tramite Stealer di un PC adibito al controllo qualità di una linea di produzione.
L’attività di incident response, estesa su tutta l’infrastruttura dell’azienda vittima dell’incidente, non ha rilevato indici di compromissione ad eccezione del PC in questione, oggetto di svariate connessioni dall’esterno tramite un software di accesso remoto.
Dalle analisi forensi è emersa una connessione in orario extra-lavorativo utilizzando credenziali di accesso riservate. È risultato evidente che le credenziali sono finite in mano ad attori malevoli.
Mentre lo staff IT dell’azienda, seguendo le indicazioni del team di incident response, provvedeva a cambiare tutte le credenziali e ad implementare l’autenticazione a più fattori su ogni applicativo e sistema in grado di gestirla, gli analisti di Cyberoo hanno potuto analizzare gli endpoint degli utenti e riscontrare in uno di questi la presenza di un malware di tipo stealer.
Non solo. È emersa anche la presenza di un file contenente informazioni sensibili (tra cui credenziali), l’assenza di un EDR e una versione del sistema operativo non più supportata.
Questo attacco è costato all’azienda tre giorni di fermo del comparto produttivo e logistico dato che non c’erano backup. È stata necessaria la reinstallazione totale e il recupero, tramite data carving, dei pochi dati disponibili nel PC compromesso.
Ransomware: le negligenze che facilitano l’attacco
Obsolescenza dei software, negligenza per la custodia delle credenziali e l’abuso di strumenti di accesso remoto configurati in modo superficiale e quasi mai aggiornati, rendono vita facile agli attaccanti e producono danni incalcolabili alle aziende.
Oltre a questo, sono ancora tante le organizzazioni che non implementano procedure e tecnologie adeguate a gestire la supply chain, che non hanno politiche di backup adeguate e che non sottoscrivono servizi di cyber intelligence in grado di rilevare, tra le tante cose, la presenza nel dark web di credenziali riconducibili alla propria realtà in modo da adottare in tempi rapidi le opportune contromisure.