SSI_462

ramsomware I punti scoperti della sicurezza nel mirino degli attacchi ransomware degli hacker: presentiamo due esempi concreti Adam Khan Nonmostrare il fianco I team di sicurezza IT vengono subissati ogni giorno, se non ogni ora, di avvisi ed eventi di cybersecurity sospetti. Nel ten- tativo di fare chiarezza in questo scenario caotico, si ritrovano a dover mettere insieme i pezzi del puzzle delle potenziali minacce e delle attività anomale o sospette per comporre un quadro completo e stabilire se si tratti di volta in volta di azioni le- gittime o di intrusi con finalità malevole. Ma cosa succede quando uno o più pezzi del puzzle vengono a mancare? Due esempi di in- cidenti di ransomware, che hanno colpito aziende manifatturiere e che sono stati mitigati da Barracuda Managed XDR, mostrano cosa può accadere quando si dispone di misure di sicurezza in- complete. Un attacco ransomware Play Verso l’una di un martedì notte, gli aggressori hanno sfruttato le credenziali di un account amministratore di dominio per violare un server desktop remoto non protetto appartenente alle vittime che avevano deciso di colpire. La mancanza di una copertura di sicurezza ha fatto sì che l’attività anomala sul domain controller passasse inosservata. Gli aggressori hanno poi cercato di man- tenere la propria presenza nel server non protetto di un’appli- cazione di monitoraggio e gestione remota, in modo da poter controllare l’obiettivo a distanza. Inoltre, gli hacker hanno utiliz- zato strumenti disponibili in commercio per cercare di ottenere un elenco di credenziali e muoversi lateralmente attraverso la rete, ma questa attività li ha portati sotto i riflettori degli strumenti di sicurezza, che hanno prontamente bloccato l’operazione ma- levola. I criminali informatici hanno poi cercato di disabilitare e manipolare le misure di sicurezza e di eliminare copie di file, un preludio comune al lancio di un ransomware, ma anche questa attività è stata rilevata e bloccata. Alle 3:20 gli aggressori hanno tentato di eseguire il ransomware Play e di crittografare diversi dispositivi, ma nell’arco di tre minuti il tentativo è fallito, quando gli endpoint presi di mira sono stati isolati dalla rete. In questo caso, i punti deboli dell’azienda presa di mira dall’attacco hanno riguardato credenziali dell’account amministratore di dominio compromesse, un server non protetto e non visibile al sistema di sicurezza, mentre gli hacker si sono serviti impropriamente di strumenti IT legittimi e disponibili in commercio. Tuttavia, con una soluzione di cybersecurity completa l’attacco avrebbe potuto essere neutralizzato ore prima. Un attacco ransomware Akira Prima dell’attacco principale, avvenuto anche in questa fattispecie nel cuore della notte, gli aggressori sono entrati in possesso delle credenziali di un account ‘fantasma’ che era stato creato dall’a- zienda per un fornitore e che non era stato disattivato una volta cessato il rapporto di lavoro con il vendor in questione. Questo è stato lo strumento utilizzato dagli hacker per connettersi alla rete dell’impresa nel mirino tramite un canale VPN aperto che non prevedeva una procedura di autenticazione multifattoriale (MFA). I criminali informatici sono stati individuati mentre cercavano di I criminali informatici sono stati individuati mentre cercavano di spostarsi lateralmente attraverso la rete Foto Shutterstock 86 AUTOMAZIONE OGGI 462 SOLUZIONI SOFTWARE PER L’INDUSTRIA