Ransomware un anno dopo WannaCry: attacca i vettori ancora comunemente sfruttati dagli aggressori. Le soluzioni Darktrace Capitolo 2

Il ransomware continua a essere una delle minacce informatiche più serie e dirompenti. I modelli di business, le motivazioni e le tecniche di infezione delle campagne emergenti si sono diversificati e nuovi filoni di ransomware continuano a superare il rilascio degli strumenti di decrittografia. Entro il 2019, i costi di danneggiamento dei ransomware globali supereranno $ 11,5 miliardi all'anno.

redatto da Aryon Solutions | Cyber Security | 24-09-2018

Come accennato la scorsa settimana, nel Capitolo 1, il ransomware continua a essere una delle minacce informatiche più serie e dirompenti. Entro il 2019, i costi di danneggiamento dei ransomware globali supereranno $ 11,5 miliardi all'anno.

Vogliamo approfondire oggi un secondo caso di studio particolarmente interessante. 


Caso studio 2: accesso a Bruteforcing Remote Desktop Protocol

Oltre a escogitare metodi intelligenti per scaricare il ransomware sulle macchine della vittima, alcuni hacker hanno invece optato per l'accesso RDP (brutoforcing Remote Desktop Protocol) (HC7 e Lockcrypt). L'esposizione dei servizi di Desktop remoto a Internet è rischiosa, poiché gli hacker possono forzare l'accesso a una rete indovinando le informazioni di accesso e sfruttando a distanza una gamma di possibili vulnerabilità e strumenti amministrativi al fine di infettare altre macchine disponibili.

In un'altra violazione particolarmente grave, Darktrace ha rilevato una serie di attività sospette che indicano che un attore malintenzionato aveva preso il controllo di un server chiave e lo utilizzava come punto di snodo per spostarsi lateralmente in tutta la rete e installare Remote Access Tools (RAT) su più dispositivi.


Nella fase iniziale dell'attacco, il sistema immunitario di Darktrace Enterprise ha rilevato oltre 400.000 connessioni in entrata su una porta che stava puntando dispositivi con RDP attivato e ha immediatamente contrassegnato i primi segni di un attacco bruteforce.

L'attacco ha avuto successo; un server compromesso è stato quindi utilizzato per recuperare malware che ha concesso l'accesso backdoor e scansionato la rete per dispositivi con canale RDP aperto. Successivamente, l'hacker ha effettuato il tunneling attraverso l'intermediario, acquisito il controllo su più macchine e installato software di accesso remoto di terze parti su tutti i dispositivi disponibili.

Sebbene la maggior parte degli incidenti di bruteforcing RDP che il sistema immunitario di Darktrace Enterprise osserva non si estenda fino a questo punto, il team di Darktrace Cyber Analyst segnala costantemente le istanze di servizi di gestione remota accessibili al pubblico. Per prevenire il ransomware che sfrutta in modo specifico la configurazione RDP non sicura, le aziende dovrebbero spostare questi servizi critici su una rete privata virtuale. Inoltre, con Darktrace Antigena, la soluzione di risposta autonoma di Darktrace, le aziende possono beneficiare di un ulteriore livello di protezione. In questo caso, avrebbe bloccato eventuali connessioni RDP anomale al server, impedendo così qualsiasi movimento laterale in tutta la rete.

FONTE: https://www.darktrace.com