Simone Fratus: Ripristinare una infrastruttura da un backup vuole dire ripristinare uno scenario già compromesso.

Quando si subisce un attacco ransomware, il ripristino di una infrastruttura da un backup può essere una soluzione per recuperare i dati crittografati. Tuttavia, è importante tenere presente che il ripristino da un backup significa avere uno scenario già compromesso in quanto il backup potrebbe contenere gli artefizi che sono serviti per perpetrare l'attacco. Pertanto, è fondamentale avere piano della gestione della crisi dove si prevede nella fase di rimediazione anche la verifica dell'integrità delle infrastrutture e dei dati prima del ripristino. Ecco perchè nei miei incontri enfatizzo che oggi le soluzioni di backup tradizionali non sono una risposta tecnica al problema Ransomware e post attacco.

Nei miei incontri ho notato che per molti non è chiaro come avviene un attacco Ransomware. Ho effettuato tante presentazioni parlando della economia degli attacchi Ransomware (The big game hunting) ed ho argomentato in altri che oggi bisogna parlare di Ransomware as a Service e non più di Ransomware.

In questo articolo vi voglio esemplificare i 7 passi di un Ransomware as a Service per convalidare la mia ipotesi iniziale: ripristinare una infrastruttura dopo un backup vuole dire ripristinare un situazione già compromessa.

Nonostante i metodi e le tattiche del ransomware siano diventati sempre più sofisticati negli ultimi anni, l'attacco tipico segue comunque una serie coerente di fasi, che inizia con la distribuzione del malware e culmina nell'estorsione. Una comprensione approfondita del ciclo di vita del ransomware può fornire alle squadre di sicurezza importanti informazioni per difendersi da tali attacchi.

Il ciclo di vita del ransomware di solito include le seguenti fasi.

1. Ricognizione ed identificazione del target

All'inizio di un attacco ransomware, gli attaccanti conducono una ricerca approfondita per identificare e selezionare potenziali obiettivi. Questa fase comporta una valutazione meticolosa di fattori come l'industria, le dimensioni, la stabilità finanziaria ed il valore dei dati detenuti dalle potenziali vittime. Le organizzazioni fortemente dipendenti dall'infrastruttura digitale e probabilmente disposte a pagare un riscatto per riprendere il controllo dei sistemi e dei dati critici sono i principali obiettivi. Gli attori minacciosi utilizzano diverse tecniche di ricognizione, compresi metodi passivi ed attivi, per raccogliere informazioni essenziali sui loro obiettivi.

Quando vi parto di "hacking point of view", analisi della superficie di attacco e Initial Access etc.etc.

2. Accesso iniziale

Avendo identificato i loro obiettivi, gli attori minacciosi entrano nella seconda fase, impiegando varie tecniche per ottenere un accesso iniziale alla rete e ai sistemi della vittima. I metodi comuni includono email di phishing, kit di exploit e sfruttamento di vulnerabilità in software obsoleti. Le tattiche di ingegneria sociale, come il pretesto e l'offerta di esca, svolgono un ruolo significativo nel manipolare individui per fornire un accesso non autorizzato.

Su questo ho già scritto un articolo dove parlo esplicitamente del "pretexting attack".

3. Comand and Control

Una volta che l'attaccante ha raggiunto con successo un dispositivo target ed ha installato un oggetto di persistenza e successivamente un loader, inizia tipicamente a comunicare con quello che è noto come un server di comando e controllo (C&C server), fornito dal Raas (Ransomware as a service). Questo server, controllato dagli attori minacciosi, è responsabile da questo momento dell'intero playbook di attacco e di tutte le successive fasi dove si può anche ripianificare la sessione di attacco, installare altri componenti, effettuare esfiltrazione per poi arrivare alla fase conclusiva della cifratura.

Il tempo tra la fase di iniziale infezione e la fase di comando e controllo varia. In alcuni casi, gli operatori potrebbero deliberatamente ritardare la comunicazione iniziale del malware con il server C&C per evitare di attirare l'attenzione degli strumenti di prevenzione del malware. Sta di fondo che nei recenti attacchi si è notato che i loader e gli oggetti di persistenza sono stati utilizzati da più attori diversi in attacchi avvenuti anche in tempi non relativamente brevi.

Insomma come aver subito un furto, non avere cambiato le chiavi di casa, e le chiavi siano state utilizzate da ladri diversi in periodi differenti.

4. Ricognizione e ottenimento di accessi privilegiati

In un sofisticato ciclo di vita del ransomware, un dispositivo compromesso inizia discretamente a cercare altri obiettivi per diffondere l'infezione. Questa fase è nota come ricognizione, in cui gli attaccanti raccolgono informazioni sull'ambiente IT e su come attaccarlo al meglio, e movimento laterale, in cui si infiltrano in dispositivi aggiuntivi e cercano di elevare i loro privilegi di accesso per accedere agli asset digitali più preziosi della rete.

Questa fase può essere svolta più volte durante un attacco facendo si che la piattaforma possa migliorare, od addirittura, cambiare tutto il processo di attacco affinche questo vada a buon fine senza essere interrotti da strumenti di protezione.

Più il malware si diffonde, più è probabile che gli sforzi di estorsione degli attori minacciosi siano efficaci.

Per ottenere il movimento laterale e l'escalation dei privilegi, gli attori minacciosi spesso sfruttano credenziali rubate, vulnerabilità del software e configurazioni di rete errate. Questa fase della catena di attacco ransomware può durare mesi, poiché gli attaccanti cercano di stabilire una presenza persistente e di accedere a risorse critiche senza rivelare la loro presenza.

5. Esfiltrazione

Utilizzando il server C&C come repository dei file, gli aggressori scansionano i dispositivi infetti e caricano qualsiasi dato che ritengono prezioso. Come nella fase di scoperta e movimento laterale, gli operatori del ransomware potrebbero eseguire l'estrazione dei dati lentamente e nel corso di settimane o mesi per evitare di attirare l'attenzione con attività di rete insolite.

Una volta completata l'estrazione dei dati, il ransomware crittografa i dati locali sui dispositivi bersaglio, utilizzando le chiavi fornite dal server C&C.

6. Cifratura

I ransomware moderni sono diventati sempre più sofisticati e utilizzano tecniche avanzate come la crittografia intermittente, che consente al malware di cifrare solo alcune parti dei dati per evitare la rilevazione da parte degli EndPoint Protector facendo si che non vengano bloccati. I ransomware moderni utilizzare tecniche di evasione per eludere la rilevazione e sfruttano oggi software già presenti a livello di sistema operativo permettendogli una veloce processo di cifratura e distruzione dei dati.

7. Estorsione e fasi di negoziazione

Una volta che il malware ha crittografato i file sui dispositivi bersaglio, inizia il processo di estorsione. In questo momento, gli utenti vedono tipicamente un messaggio che include le seguenti informazioni:

• Notifica dell'infezione.
• L'importo di denaro che i criminali richiedono in cambio della chiave di decrittazione.
• Istruzioni per effettuare il pagamento.
• Un timer del conto alla rovescia che indica quanto tempo ha l'utente o l'azienda per effettuare il pagamento prima di perdere definitivamente i dati o vedere aumentare l'importo del riscatto.

 

Conclusione

Ripristinare un ambiente da un backup vuole dire ripristinare gran parte dei punti sopra citati permettendo ad un attaccante di poter immediatamente cifrare l'infrastruttura.

Ma vorrei aggiungere alcuni punti a seguito di mie esperienze che magari un giorno esplodero in altri prossimi articoli:

- Durante un attacco Ransomware un softare di backup è estremamente vulnerabile ed è uno degli obiettivi che l'attaccante vuole raggiungere e distruttere. La distruzione delle copie fa si che sicuramente l'attaccato arriverà nel più breve tempo possibile al pagamento del riscatto.

- i software di backup sono software, quindi anch'essi fruibili di attacchi per mal configurazione, ottenimento di credenziali o sfruttamento di Zero Day. Su questo avevo già scritto un articolo i precedenza.

- anche se le copie di backup restano "vive" durante la fase di rimediazione dobbiamo tenere conto dei punti sopra. Ripristinare un backup vuole dire ripristinare una macchina già in persistenza e corrota; inoltre vengono ripristinati gli stessi accessi che erano già stati compromessi. Aggiungo che tante volte gli attori criminali ottenuto credenziali amministrative, creano altre credenziali e le rendono non visibili. Quindi ripristinate anche queste.

- Per effettuare una ripristino e bonifica dovete avere lo spazio e la capacita computazionale per farlo, ma allo stesso tempo dovete tenere l'infrastruttura cifrata per una successiva verifica ispettiva dalle forze dell'ordine. Questo vule dire che se non avete strumenti moderni che vi permettano una bonifica dell'infrastruttura (concetti di sandbox post attacco) e che vi permettano di tenere un vault della stessa dovete per forza affrontare un processo di acquisizione di una nuovo ambiente, acquisto di nuove licenze, installazione, importazione dei dati e messa in sicurezza con relativa formazione del personale ad accedervi con nuovi sistemi di sicurezza.

Il ransomware non è più quello di una volta ed il ripristino non può essere gestito con soluzioni sviluppate molti anni fa.

 

Fonte: Simone Fratus - https://www.linkedin.com/pulse/ripristinare-una-infrastruttura-da-un-backup-vuole-dire-simone-fratus