Dal nostro Assintel CyberMagazine un focus sul Ransomware, a cura di Pierguido Iezzi
Una delle parti più critiche – e più difficili se guardiamo la vicenda dalla parte del Criminal Hacker – nella catena d’infezione di un Ransomware è proprio la prima fase; quella che permette loro di “entrare” nelle reti dei loro target.
Magari si tratta di cercare porte RDP esposte in Rete, magari si tratta di campagne di phishing. Attività che comunque prevedono un certo “effort” e una certa spesa da parte dei gruppi dediti al ransomware.
E non illudiamoci che i Criminal Hacking non operino sotto uno strettissimo regime di “costo-beneficio”, non dissimile a quello che utilizzano tutte le attività “in chiaro”. Per questo la notizia che gli accessi diretti ai network sono adesso in vendita nel Dark Web – per cifre che a volte sono di appena 300$ - non dovrebbe farci dormire sogni tranquilli.
Soprattutto perché molti gruppi tra i più noti come Maze e NetWalker potrebbero essere lì pronti in attesa di comprare. Togliere la parte di “infiltration” nella catena di attacco del ransomware, da ancora più tempo ai gruppi di Criminal Hacker per perfezionare la loro persistenza nel sistema e di muoversi lateralmente.
L’accesso ai network venduto come “item” separato è solo divenuto recentemente una “hot comodity” anche se a dire la verità le prime tracce di questo fenomeno erano state tracciate per la prima volta nel dark web nel 2017. I “venditori” in questo caso, ça va sans dir, sono a loro volta Criminal Hacker che hanno expoitato una vulnerabilità per ottenere accesso completo ai network di una serie di target – magari senza particolari obiettivi in mente. Fatto questo, invece che passare alla fase di attacco si fermano e mettono in vendita quanto ottenuto sul Dark Web con il prezzo basato sul fatturato e la dimensione dell’azienda da loro colpita. “L’annuncio” di vendita solitamente è ben dettagliato con tutte le informazioni della vittima: dal tipo di industry in cui opera (per esempio banking o manifatturiero) passando per il tipo di accesso ottenuto sfruttando la vulnerabilità (potrebbero essere stati in grado di “bucare una VPN, un RDP esposto…), fino a dettagli come il numero di macchine, la nazione e molto altro ancora…
Ransomware: i numeri del fenomeno
All’inizio di settembre, per meglio contestualizzare il fenomeno, un gruppo di ricercatori ha “scandagliato” il Dark e Deep Web alla ricerca dei reseller di accessi alle Reti. Al tempo della ricerca erano riusciti a trovarne circa 25, ma con la precisazione che molti altri stavano entrando sul mercato.
Curiosamente o forse in maniera preoccupante, tutti questi threat actors operavano negli stessi forum e ambienti solitamente popolati dai “big hitters” del Ransomware come Maze, Avaddon, Sodiniokibi, NetWalker e molti altri. Certo, non è semplicissimo risalire - durante la fase forense di un’investigazione post incident – al se e quando gli accessi che hanno permesso ai Criminal Hacker di colpire arrivano da queste vendite sul Dark Web. L’unica certezza è che questi sono in vendita e che i gruppi ransomware stanno iniziando a comprare in massa. Tornando alla “merce” in vendita, al momento il “top seller” rimane l’accesso a reti RDP compromesse, anche se ultimamente sono in forte crescita accessi a VPN come Pulse e Citrix. Non a caso sono servizi che hanno visto un’impennata nel loro utilizzo negli ultimi mesi di Pandemia.
Zero day
Come se non bastasse, adesso queste offerte vengono accoppiate anche a nuovi zero-day – invece che essere vendute separatamente. Per esempio, secondo i ricercatori, un gruppo di Criminal Hacker noto come Frankknox ha messo in vendita uno Zero day per un noto client di posta a circa 250mila dollari. Ma, sorprendentemente, ha poi deciso di vendere la sua offerta e iniziare a vedere gli accessi separati a circa 36 aziende differenti ottenuti grazie allo sfruttamento di questi zero day. Una mossa che ha fruttato al Criminal Hacker tra i 2mila e i 20mila dollari per accesso venduto (il gruppo ha dichiarato di aver venduto – ad oggi – 11 di questi accessi).
Come difendersi
Ovviamente la prima linea di difesa deve essere un perimetro di difesa resiliente e – vista la loro particolare incidenza nell’elenco della mercanzia in “vendita” – cercare di eliminare o limitare il più possibile l’utilizzo di protocolli RDP all’interno del perimetro aziendale. In particolare se non si utilizzano in proprio è imperativo disattivarle e chiudere la porta 3389. Certo, se proprio non ci sono alternative, la loro corretta configurazione deve essere il primo punto d’attenzione. Ecco alcune misure e best practice per rendere sicuro il protocollo RDP:
- utilizzare password forti;
- rendere disponibile l’RDP solo attraverso una VPN aziendale;
- utilizzare l’autenticazione a livello di rete (Network Level Authentication);
- se possibile, abilitare l’autenticazione a due fattori;
Si dovrebbero anche abilitare i criteri di blocco degli account per intercettare eventuali attacchi di forza bruta, poiché questi bloccheranno temporaneamente i login sugli account dopo un certo numero di tentativi falliti.
L’abilitazione delle politiche di revisione degli account può allo stesso modo aiutare a prevenire tali attacchi, permettendo agli amministratori di vedere quali account mostrano ripetutamente errori di login e sono quindi potenzialmente oggetto di attacco. Certo, se il network è già stato “bucato”, queste potrebbero essere solo misure “pro futuro”. In questo caso però potrebbe esserci un delta di tempo cruciale in cui intercettare informazioni riguardanti il nostro network, prima che queste vengano acquistate e soprattutto riuscendo a rimediare alla vulnerabilità. Qui, giocano un ruolo fondamentale i servizi di Threat Intelligence, in grado di fornire quell’Actionable intelligence necessaria per prevenire e anticipare devastanti attacchi ransomware, monitorando l’attività sul dark web che menziona la nostra azienda… Non abbassiamo la guardia!
L'articolo è parte del CyberMagazine, un appuntamento editoriale curato dal Gruppo di Lavoro Assintel Cybersecurity