Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/attacco-hacker-regione-lazio-il-ransomware-utilizzato-potrebbe-essere-lockbit-20_99653.html

Nella mattinata di domenica, la Regione Lazio ha subito un attacco ransomware che ha crittografato ogni file nel suo data center e ha interrotto la sua rete informatica. Adesso emerge qualche dettaglio in più sul ransomware che sembra sia stato usato per perpetrare l'attacco

Click sul link per visualizzare la notizia.

Se ho capito bene, è stata una mail contraffatta aperta da uno in smart working a tritare tutto.
Ma com'è possibile una cosa del genere, mi chiedo? Come fa uno col suo applicativo a distanza ad alterare tutta l'infrastruttura? Chi ne sa di più?

BitLocker??? Siete sicuri sicuri??....

emh si insomma la formazione del personale è sempre la difesa TOP .....troppi fastidi ed incredibile che non ci siano delle repliche delle macchine spente

Se ho capito bene, è stata una mail contraffatta aperta da uno in smart working a tritare tutto.
Ma com'è possibile una cosa del genere, mi chiedo? Come fa uno col suo applicativo a distanza ad alterare tutta l'infrastruttura? Chi ne sa di più?

Qui però vorrei informazioni aggiuntive più precise.

L'articolo riporta "Basta aprire le e-mail perché il malware venga scaricato ed eseguito" ma quindi questo significa che basta aprire la mail nel client di posta anche solo per leggerla e senza aprire allegati per far partire il ransomware? Possibile che la cosa non sia rilevabile dalla tecnologia euristica degli antivirus? @Redazione illuminaci. Se cosi fosse sarebbe veramente preoccupante!!!

LockBit e Bitlocker sono due cose molto diverse, se non altro perchè il secondo è di MicroSoft! :D

emh si insomma la formazione del personale è sempre la difesa TOP .....troppi fastidi ed incredibile che non ci siano delle repliche delle macchine spente

ahaha sarà stato il classico impiegato quasi prossimo alla pensione che è già tanto che ha imparato ad accendere il pc e
si è fatto fregare dalla solita email di phishing e collegato in vpn da casa ha sventrato tutti i sistemi della regione senza manco essersi reso conto
chi gestisce l'it li dentro non ha neanche mezzo backup
e adesso per mascherare l'incompetenza lo chiamano pure "attacco terroristico" davanti ai giornalisti
pagliacci
:asd: :asd: :asd:

Qui però vorrei informazioni aggiuntive più precise.

L'articolo riporta "Basta aprire le e-mail perché il malware venga scaricato ed eseguito" ma quindi questo significa che basta aprire la mail nel client di posta anche solo per leggerla e senza aprire allegati per far partire il ransomware? Possibile che la cosa non sia rilevabile dalla tecnologia euristica degli antivirus? @Redazione illuminaci. Se cosi fosse sarebbe veramente preoccupante!!!

+1
e ci infilo anche la moria di account office365, sendgrid e google che ultimamente vengono rubati, e usati per spammare e distribuire malware.
tra i nostri fornitori abituali, 4 sono stati bucati, l'unica cosa che li accomuna era una mail di spam 1-2 gg prima che avevano soltanto "aperto", inteso come letta insomma
qualche codice html nel body? Js? che rubano le credenziali SSO?
sarebbe terribile.

Qui però vorrei informazioni aggiuntive più precise.

L'articolo riporta "Basta aprire le e-mail perché il malware venga scaricato ed eseguito" ma quindi questo significa che basta aprire la mail nel client di posta anche solo per leggerla e senza aprire allegati per far partire il ransomware? Possibile che la cosa non sia rilevabile dalla tecnologia euristica degli antivirus? @Redazione illuminaci. Se cosi fosse sarebbe veramente preoccupante!!!
anche a me sembra una cazzata. Sarebbe il caso di scrivere articoli sulla base di info un po' più tecniche.

Se ho capito bene, è stata una mail contraffatta aperta da uno in smart working a tritare tutto.
Ma com'è possibile una cosa del genere, mi chiedo? Come fa uno col suo applicativo a distanza ad alterare tutta l'infrastruttura? Chi ne sa di più?

Non ci sono ulteriori informazioni al riguardo , se, si sia infettato il pc del dirigente fuori sede o abbiano infettato il pc in sede.
Nel primo caso sicuramente non hanno segmentato la rete, nel secondo caso non ci sono vie di fuga , sfruttano qualche falla per infettare il dominio, supponendo che tutte le policy siano configurate . In questo caso credo sia stato fatto durante il weekend, quando gli amministratori sono fuori sede.

anche a me sembra una cazzata. Sarebbe il caso di scrivere articoli sulla base di info un po' più tecniche.

considera che Libraesva, un noto antispam, ha inserito il disarm di eventuale codice html nei COMMENTI del codice html delle mail stesse, così come gli iframe, i tags ecc
passa codice malvevolo anche da li
quindi si, tecnicamente una mail, magari con client di posta vecchi, basta solo leggerla senza cliccare o aprire nulla.

Non ci sono ulteriori informazioni al riguardo , se, si sia infettato il pc del dirigente fuori sede o abbiano infettato il pc in sede.
Nel primo caso sicuramente non hanno segmentato la rete, nel secondo caso non ci sono vie di fuga , sfruttano qualche falla per infettare il dominio, supponendo che tutte le policy siano configurate . In questo caso credo sia stato fatto durante il weekend, quando gli amministratori sono fuori sede.

+ che altro EDR, antivirus ecc
una manovra del genere richiede un EOP da subito...booh

Non ci sono ulteriori informazioni al riguardo , se, si sia infettato il pc del dirigente fuori sede o abbiano infettato il pc in sede.
Nel primo caso sicuramente non hanno segmentato la rete, nel secondo caso non ci sono vie di fuga , sfruttano qualche falla per infettare il dominio, supponendo che tutte le policy siano configurate . In questo caso credo sia stato fatto durante il weekend, quando gli amministratori sono fuori sede.
Quoto te ma per tutti.... scusate ma avete presente il settore pubblico ? :D
E chi te lo fa fare di sbatterti se lo stipendio arriva lo stesso ?
Cercare di fare il meno possibile e tirarla per le lunghe, alla faccia dei cittadini e delle imprese, e vaffanqlo al mondo intero :O

Qui però vorrei informazioni aggiuntive più precise.

L'articolo riporta "Basta aprire le e-mail perché il malware venga scaricato ed eseguito" ma quindi questo significa che basta aprire la mail nel client di posta anche solo per leggerla e senza aprire allegati per far partire il ransomware? Possibile che la cosa non sia rilevabile dalla tecnologia euristica degli antivirus? @Redazione illuminaci. Se cosi fosse sarebbe veramente preoccupante!!!

Anche io quando ho letto quel passaggio sono rimasto stranito. Senz'altro esistono exploit di questo tipo ma immagino siano molto specifici (funzionano solo con certi client email e per certe versioni). Ma mi riesce più semplice pensare che qualcuno abbia semplicemente dato retta al contenuto dell'email che diceva "lancia quest'eseguibile perché sei il 10.000.000 cliente !" ...

+ che altro EDR, antivirus ecc
una manovra del genere richiede un EOP da subito...booh

Certamente , è diventato veramente difficile starci dietro, attacchi su tutti i fronti, interni, esterni, trasversali, falle, exploit ecc ecc .

Hanno chiesto solo 5 sacchi ... Si vede che lo sanno che siamo povery...

Se ho capito bene, è stata una mail contraffatta aperta da uno in smart working a tritare tutto.
Ma com'è possibile una cosa del genere, mi chiedo? Come fa uno col suo applicativo a distanza ad alterare tutta l'infrastruttura? Chi ne sa di più?
Se non ci sono regole sulla VPN, dal tuo pc puoi accedere a tutta la rete interna, leggi datacenter. :muro:

Metti il caso: il tizio legge la mail, clicca sul link "SESSO GRATIS CLICCA QUI", ti scarica il malware di turno, che si avvia in automatico. Da qui inizia la scansione di tutte le unità di rete e via di crypto. :lamer:
Alternativa: dopo la scansione, il malware avvia una sessione RDP/Teamviewer/Anydesk da un server random, bucato con admin/admin (UAU :fagiano: ). Chi sta dall'altra parte, si collega e inizia a mapparti tutta la rete. Quando si è fatto un'idea, il weekend (l'IT sarà al mare a farsi dei gintonic :hic: ) ti butta giù l'infrastruttura. :ops:

Non vorrei essere al loro posto. :stordita:

ahaha sarà stato il classico impiegato quasi prossimo alla pensione che è già tanto che ha imparato ad accendere il pc e
si è fatto fregare dalla solita email di phishing e collegato in vpn da casa ha sventrato tutti i sistemi della regione senza manco essersi reso conto
chi gestisce l'it li dentro non ha neanche mezzo backup
e adesso per mascherare l'incompetenza lo chiamano pure "attacco terroristico" davanti ai giornalisti
pagliacci
:asd: :asd: :asd:
Per esperienza i più boccaloni/distruttori sono quelli nella fascia 20-26 anni. Occhio che le nuove generazioni non sanno accendere un PC: solo app e dispositivi mobile. :help:

Se non ci sono regole sulla VPN, dal tuo pc puoi accedere a tutta la rete interna, leggi datacenter. :muro:

Metti il caso: il tizio legge la mail, clicca sul link "SESSO GRATIS CLICCA QUI", ti scarica il malware di turno, che si avvia in automatico. Da qui inizia la scansione di tutte le unità di rete e via di crypto. :lamer:
Alternativa: dopo la scansione, il malware avvia una sessione RDP/Teamviewer/Anydesk da un server random, bucato con admin/admin (UAU :fagiano: ). Chi sta dall'altra parte, si collega e inizia a mapparti tutta la rete. Quando si è fatto un'idea, il weekend (l'IT sarà al mare a farsi dei gintonic :hic: ) ti butta giù l'infrastruttura. :ops:

Non vorrei essere al loro posto. :stordita:
Disarmante..!

+ che altro EDR, antivirus ecc
una manovra del genere richiede un EOP da subito...booh

fare un'EOP su un server, magari senza patch è relativamente semplice:
https://csirt.gov.it/contenuti/nuova-vulnerabilita-nello-spooler-di-stampa-microsoft-al01-210716-csirt-ita
https://csirt.gov.it/contenuti/patch-per-vulnerabilita-in-linux-al02-210721-csirt-ita
(e sono solo i primi due recenti che mi vengono in mente)

Inoltre, non è detto che serva effettivamente farlo.
https://csirt.gov.it/contenuti/microsoft-risolta-una-vulnerabilita-in-iis-al01-210518-csirt-ita
ad esempio, usando questa falla potrei benissimo far eseguire a IIS (che viene avviato tramite utente di sistema) un download di un loader (offuscato) che scarica a sua volta, vari payload (a sua volta offuscati e magari a catena) che fanno:
1) bypass/inibizione antivirus
2) scarica un'ulteriore payload
- 2a) tunnel vpn criptato tramite un server esterno
- 2c) se nella macchina infettata, trovano un'utente attivo tarmite RDP (anche solo disconnesso, ma la sessione è attiva) tramite tool tipo il Mimikatz
- 2d) analizzano tutta la rete e dominio (tramite l'utente di dominio loggato) in cerca di macchine ulteriori da infettare e/o dispositivi di backup
- 2e) tramite le credenziali ottenute e/o falle trovate tramite la scansione della rete accedono ad altri dispositivi e ripetono il punto due per intero fino all'ultimo punto
- 2f) viene caricato il malware che effettivamente cripta il tutto il contenuto delle macchine accessibili tramite ramsonware.

Fine.

La soluzione ai ramsonware è solo uno, trovare una soluzione di backup AFFIDABILE e avere una piano di recupero SERIO.

Certamente , è diventato veramente difficile starci dietro, attacchi su tutti i fronti, interni, esterni, trasversali, falle, exploit ecc ecc .

i brute force li fanno da sempre e quelli bucati sono come al solito quelli che usano password da ebeti

La soluzione ai ramsonware è solo uno, trovare una soluzione di backup AFFIDABILE e avere una piano di recupero SERIO.

eh già, la penso anche io così.

ma mi sa che sarà ancora lunga... fino a che ci saranno realtà come queste, con aziende disposte (obbligate) a pagare, si continuerà a chiedere il riscatto dei dati

i brute force li fanno da sempre e quelli bucati sono come al solito quelli che usano password da ebeti

appunto, i bruteforce lineari (00001, 00011 ecc) sono quasi passati di moda, si và di rainbow table, chiavi ssh/ldap/kerberos sniffate, certificati collezionati ecc.

Che vi devo dire , se nei server di Google o di Microsoft ancora non ci sono entrati il verso per farli sicuri c'è.

Nel caso estremo si può fare anche il backup notturno manuale su server separati magari alternandoli , e non da remoto.
È un po' estremo è sicuramente richiede molto tempo a quei livelli , ma almeno si ha la certezza che non ci venga messo mano . ( Per i costi vabbè buttano palanche di soldi in inutilità ... Almeno questo sarebbe utile)

eh già, la penso anche io così.

ma mi sa che sarà ancora lunga... fino a che ci saranno realtà come queste, con aziende disposte (obbligate) a pagare, si continuerà a chiedere il riscatto dei dati

Ma è una cosa stupida, perché pagare (tanti o pochi soldi che siano) dei criminali quando effettivamente vieni attaccato?
Non convine invece, prevenire, pagando un IT decente e dando disponibilità di un budget annuo per la sicurezza informatica?
Le aziende fanno fare corsi ai mulettisti, antincendio, sicurezza sul luogo di lavoro ecc, perché non possono fargli fare anche un corso sulla sicurezza informatica (basico, ovviamente) ad ogni singola scimmia che usa un PC?

La soluzione ai ramsonware è solo uno, trovare una soluzione di backup AFFIDABILE e avere una piano di recupero SERIO

la seconda sarebbe bannare le crypto visto che sta rottura di palle è una conseguenza diretta

considera che Libraesva, un noto antispam, ha inserito il disarm di eventuale codice html nei COMMENTI del codice html delle mail stesse, così come gli iframe, i tags ecc
passa codice malvevolo anche da li
quindi si, tecnicamente una mail, magari con client di posta vecchi, basta solo leggerla senza cliccare o aprire nulla.

Questo è decisamente preoccupante!!!
Sui pc aziendali usiamo Bitdefender Endpoint Security Tools che amministro da cloud su GravityZone. Mi sembra che la soluzione faccia il suo lavoro, infatti ogni tanto ricevo mail con allegati sospetti e il programma cambia l'oggetto della mail con il tag di disinfezione, quindi il suo lavoro lo fa... Ora spero lo faccia anche per eventuale codice malevolo nascosto nel body html delle mail, altrimenti si profila la necessità di una cyber-awareness ancora più profonda durante la formazione coi dipendenti. A questo punto è forse meglio cancellare la mail col tasto destro senza neanche farla visualizzare dentro il client!

Che vi devo dire , se nei server di Google o di Microsoft ancora non ci sono entrati il verso per farli sicuri c'è.

Nel caso estremo si può fare anche il backup notturno manuale su server separati magari alternandoli , e non da remoto.
È un po' estremo è sicuramente richiede molto tempo a quei livelli , ma almeno si ha la certezza che non ci venga messo mano . ( Per i costi vabbè buttano palanche di soldi in inutilità ... Almeno questo sarebbe utile)

L'unico backup sicuro, è sul tavolo del sistemista, spento e magari in un'altra sede rispetto ai server.

i brute force li fanno da sempre e quelli bucati sono come al solito quelli che usano password da ebeti

piccola precisazione se beccano chi "usano password da ebeti" significa che non usano bruteforce ma attacchi a dizionario

il bruteforce non potrai mai eliminarlo, puoi stocasticamente rendere sicuro il sistema ingrandendo la chiave e interponendo, dove possibile, limitazioni ai tentativi di accesso ma esiste sempre la possibilità (infinitesimale) di sculata ovvero di indovinare la chiave.

questo è sempre più vero tanto più l'algoritmo di cifratura ha qualche anno di vita, vedi ad esempio il triplo des che è stato violato (su file ) in poche ore prima da migliaia di asic costruiti ad hoc (des cracker) e anni dopo con poche decine di spartan III (COPACOBANA) ed era lo standard di riferimento dell'epoca giustamente poi sostituito da aes

la seconda sarebbe bannare le crypto visto che sta rottura di palle è una conseguenza diretta

Soluzione decisamente impossibile e comunque inutile.

Soluzione decisamente impossibile e comunque inutile.

certo perchè senza crypto ti chiedono lo stesso il riscatto col bonifico bancario :asd:
ed è fattibilissimo vedi la cina

L'unico backup sicuro, è sul tavolo del sistemista, spento e magari in un'altra sede rispetto ai server.

come dicevano a me l'unico sistema sicuro è un sistema isolato dalla rete e spento quindi per definizione un sistema inutile.

non esiste mai nella sicurezza informatica la sicurezza completa al 100% tutto sta a rendere agli attancanti il lavoro così lungo da renderlo non vantaggioso / non remunerativo

fare un'EOP su un server, magari senza patch è relativamente semplice:
https://csirt.gov.it/contenuti/nuova-vulnerabilita-nello-spooler-di-stampa-microsoft-al01-210716-csirt-ita
https://csirt.gov.it/contenuti/patch-per-vulnerabilita-in-linux-al02-210721-csirt-ita
(e sono solo i primi due recenti che mi vengono in mente)

Inoltre, non è detto che serva effettivamente farlo.
https://csirt.gov.it/contenuti/microsoft-risolta-una-vulnerabilita-in-iis-al01-210518-csirt-ita
ad esempio, usando questa falla potrei benissimo far eseguire a IIS (che viene avviato tramite utente di sistema) un download di un loader (offuscato) che scarica a sua volta, vari payload (a sua volta offuscati e magari a catena) che fanno:
1) bypass/inibizione antivirus
2) scarica un'ulteriore payload
- 2a) tunnel vpn criptato tramite un server esterno
- 2c) se nella macchina infettata, trovano un'utente attivo tarmite RDP (anche solo disconnesso, ma la sessione è attiva) tramite tool tipo il Mimikatz
- 2d) analizzano tutta la rete e dominio (tramite l'utente di dominio loggato) in cerca di macchine ulteriori da infettare e/o dispositivi di backup
- 2e) tramite le credenziali ottenute e/o falle trovate tramite la scansione della rete accedono ad altri dispositivi e ripetono il punto due per intero fino all'ultimo punto
- 2f) viene caricato il malware che effettivamente cripta il tutto il contenuto delle macchine accessibili tramite ramsonware.

Fine.

La soluzione ai ramsonware è solo uno, trovare una soluzione di backup AFFIDABILE e avere una piano di recupero SERIO.
esatto
non è idiosincratico ciò che ho scritto io con quello che hai scritto tu!

perchè ti senza ti chiedono lo stesso il riscatto col bonifico?

Volendo sì, l'intercettazione tra bitcoin -> mixer -> wallet di destinazione avviene allo stesso modo con i bonifici, basta che tu apra 200 conti correnti in giro per il mondo a nome di varie persone a cui hai ciulato i documenti.

In italia, per esempio, le telecamere non potrebbero registrare più di 7gg, dopo diventano prove non ammissibili e potrebbero perdere la causa.

Dopo alcuni mesi dall'apertura dei conti, infetti un pc/server e richiedi un pagamento tramite il conto XXX, appena arriva il bonifico, tramite BOT inizi a miscelare tutti i pagamenti dei vari 200 conti che hai aperto.
Successivamente, miscelati abbondantemente, inizi a tirarli fuori, come?
Ad esempio, compri armi, droga e le rivendi, oppure più semplicemente, "vendi" il conto corrente per contati alla mafia, ovvero, fai reciclaggio di denaro :)

come dicevano a me l'unico sistema sicuro è un sistema isolato dalla rete e spento quindi per definizione un sistema inutile.

non esiste mai nella sicurezza informatica la sicurezza completa al 100% tutto sta a rendere agli attancanti il lavoro così lungo da renderlo non vantaggioso / non remunerativo

esatto
io sto cercando di trovare una soluzione back offline...ma non troppo
una nas fuori dominio, con job al di fuori di quelli classici schedulati da Veeam (x es.)
o
si torna ai nastri, che ridendo e scherzando sono perfetti per questo tipo di backup freddi

come dicevano a me l'unico sistema sicuro è un sistema isolato dalla rete e spento quindi per definizione un sistema inutile.

non esiste mai nella sicurezza informatica la sicurezza completa al 100% tutto sta a rendere agli attancanti il lavoro così lungo da renderlo non vantaggioso / non remunerativo

No, non è inutile, un sistema di backup rotativo che và offline (come gli RDX) sono favolosi.

Certo, non hai il backup istantaneo (al massimo di qualche gg), ma almeno non hai perso TUTTO.

esatto
io sto cercando di trovare una soluzione back offline...ma non troppo
una nas fuori dominio, con job al di fuori di quelli classici schedulati da Veeam (x es.)
o
si torna ai nastri, che ridendo e scherzando sono perfetti per questo tipo di backup freddi

https://www.overlandtandberg.com/products/rdx-removable-storage/

esatto
io sto cercando di trovare una soluzione back offline...ma non troppo
una nas fuori dominio, con job al di fuori di quelli classici schedulati da Veeam (x es.)
o
si torna ai nastri, che ridendo e scherzando sono perfetti per questo tipo di backup freddi

in una situazione simile alla tua, per una piccola realtà con non tantisismi dati da salvare e una decina di utenti io ho usato nas fuori dominio con abilitato solamente ftp e credenziali ftp salvate solamente nel programma di backup, credenziali specifiche che non vengono utilizzate per nessun altra attività e che non sono in possesso degli utenti

per il resto delle attività lavorativa gli utenti ormai si sono abituati, dopo aver acceduto ai vari fileserver, a lanciare un piccolo bat che elimina tutte le credenziali salvate (niente più di un net use * /delete)

alla fine ho visto che i vari ramsonware mappano gli share di rete mediante samba e pochi altri protocolli ma sftp pare apposto

in una situazione simile alla tua, per una piccola realtà con non tantisismi dati da salvare e una decina di utenti io ho usato nas fuori dominio con abilitato solamente ftp e credenziali ftp salvate solamente nel programma di backup, credenziali specifiche che non vengono utilizzate per nessun altra attività e che non sono in possesso degli utenti

per il resto delle attività lavorativa gli utenti ormai si sono abituati, dopo aver acceduto ai vari fileserver, a lanciare un piccolo bat che elimina tutte le credenziali salvate (niente più di un net use * /delete)

alla fine ho visto che i vari ramsonware mappano gli share di rete mediante samba e pochi altri protocolli ma sftp pare apposto

Puoi usare anche un RDX via USB sul NAS e 2 o più cassette rotative.

Puoi usare anche un RDX via USB sul NAS e 2 o più cassette rotative.

può essere una soluzione, attualmente oltre a questo ogni tot mesi salvo tutto su glacier per pochi dollari al mese ma è un attività manuale durante le manutenzioni (e che occupa un botto di tempo visto la banda che occupa)

L'unico backup sicuro, è sul tavolo del sistemista, spento e magari in un'altra sede rispetto ai server.

Magari che usi una tecnologia non riscrivibile dove sia impossibilie altrare il dati neanche per sbaglio tipo i dvd per rendere l'dea.
Credo che chi sviluppa tale sistema di backup puo fare molti soldi nei prossimi anni

può essere una soluzione, attualmente oltre a questo ogni tot mesi salvo tutto su glacier per pochi dollari al mese ma è un attività manuale durante le manutenzioni (e che occupa un botto di tempo visto la banda che occupa)
Comunque, su Veeam (usi quello da quanto ho capito) non usare un utente di dominio per accedere al suo pannello, ma creati una user e pass ad hoc, tempo fà da un cliente è successo che gli hanno sgamato la password dell'administrator perché un vecchio sistemista gli aveva installato Veeam con l'utente admin di dominio, che però, poi gli attaccanti una volta avuto accesso al server, hanno aperto veeam e a mano, hanno cancellato i backup e i job. :doh:
Ovviamente, non avevano altre copie, se non nel NAS e un'hdd esterno collegato al nas, che però sfiga vuole, si è bruciato qualche settimana prima, visto che i logs di Qnap non li leggeva nessuno non potevano saperlo.

Magari che usi una tecnologia non riscrivibile dove sia impossibilie altrare il dati neanche per sbaglio tipo i dvd per rendere l'dea

Infatti gli RDX hanno un piedino che sposti (tipo i vecchi floppy o Iomegazip) e quel disco è in readonly.

i brute force li fanno da sempre e quelli bucati sono come al solito quelli che usano password da ebeti

Certo , ma sono tecniche spicciole, sgamabili e bloccabili tramite firewall o addirittura tramite applicativo.

Comunque, su Veeam (usi quello da quanto ho capito) non usare un utente di dominio per accedere al suo pannello, ma creati una user e pass ad hoc, tempo fà da un cliente è successo che gli hanno sgamato la password dell'administrator perché un vecchio sistemista gli aveva installato Veeam con l'utente admin di dominio, che però, poi gli attaccanti una volta avuto accesso al server, hanno aperto veeam e a mano, hanno cancellato i backup e i job. :doh:
Ovviamente, non avevano altre copie, se non nel NAS e un'hdd esterno collegato al nas, che però sfiga vuole, si è bruciato qualche settimana prima, visto che i logs di Qnap non li leggeva nessuno non potevano saperlo.

tutto il sistema di backup è fuori dominio credenziali incluse è la prima cosa che ho fatto :D

Normalmente, Lockbit 2.0 infetta i computer servendosi di un'email di spam che assomiglia alle e-mail di Amazon, eBay, banche o compagnie assicurative.

Quindi conferma quello che ha detto ieri al TG2 la responsabile. Dopo di che...

Basta aprire le e-mail perché il malware venga scaricato ed eseguito.

Falso, se non si attuano le misure elementari che sono starnazzate da almeno 15 anni e che ogni utente (non parliamo poi dei responsabili), soprattutto di una grande organizzazione, dovrebbero sapere e attuare a memoria, coadiuvati anche da programmi mail seri che hanno l'opzione di non interpretare eventuale codice (html, javascript, vbs, vattelapesca, ecc.) presente in una mail. Poi il solito WSH da impostare diversamente dal suo default o al limite disattivare.

Se è vero quanto dice la responsabile a proposito del link postale "malefico", non è stato un attacco sofisticato, ma semplicemente uno dei soliti attacchi per idioti.

Infatti gli RDX hanno un piedino che sposti (tipo i vecchi floppy o Iomegazip) e quel disco è in readonly.
il sistema è interessante ma ce un momento critico dove lo sblocchi e lo colleghi al sistema per un nuovo backup e quello potrebbe essere un momento per attaccarlo.
io pensavo piu qualcosa tipo cartuccie o dichi dove si fai il backup si stacca e si stocca nel cavo sperando che non serva mai più.

considera che Libraesva, un noto antispam, ha inserito il disarm di eventuale codice html nei COMMENTI del codice html delle mail stesse, così come gli iframe, i tags ecc
passa codice malvevolo anche da li
quindi si, tecnicamente una mail, magari con client di posta vecchi, basta solo leggerla senza cliccare o aprire nulla.
voglio sperare che qualunque parser html diciamo degli ultimi 5-10 anni sia in grado di distinguere l'html da altra schifezza...

Volendo sì, l'intercettazione tra bitcoin -> mixer -> wallet di destinazione avviene allo stesso modo con i bonifici, basta che tu apra 200 conti correnti in giro per il mondo a nome di varie persone a cui hai ciulato i documenti.

In italia, per esempio, le telecamere non potrebbero registrare più di 7gg, dopo diventano prove non ammissibili e potrebbero perdere la causa.

Dopo alcuni mesi dall'apertura dei conti, infetti un pc/server e richiedi un pagamento tramite il conto XXX, appena arriva il bonifico, tramite BOT inizi a miscelare tutti i pagamenti dei vari 200 conti che hai aperto.
Successivamente, miscelati abbondantemente, inizi a tirarli fuori, come?
Ad esempio, compri armi, droga e le rivendi, oppure più semplicemente, "vendi" il conto corrente per contati alla mafia, ovvero, fai reciclaggio di denaro :)


si vabbè la questione non è esattamente così banale e il rischio di essere beccato in ogni caso e 100 volte più alto rispetto alle crypto
ransomware e cryptovalute si sono diffusi innegabilmente insieme e continueranno ad andare a braccetto

in una situazione simile alla tua, per una piccola realtà con non tantisismi dati da salvare e una decina di utenti io ho usato nas fuori dominio con abilitato solamente ftp e credenziali ftp salvate solamente nel programma di backup, credenziali specifiche che non vengono utilizzate per nessun altra attività e che non sono in possesso degli utenti

nas con accesso solo ftp è esattamente quello che ho fatto anche io per i backup critici
al momento ftp/sftp/ftps sembrerebbero sicuri dai ransomware :sperem:

come dicevano a me l'unico sistema sicuro è un sistema isolato dalla rete e spento quindi per definizione un sistema inutile.

non esiste mai nella sicurezza informatica la sicurezza completa al 100% tutto sta a rendere agli attancanti il lavoro così lungo da renderlo non vantaggioso / non remunerativo

esatto
io sto cercando di trovare una soluzione back offline...ma non troppo
una nas fuori dominio, con job al di fuori di quelli classici schedulati da Veeam (x es.)
o
si torna ai nastri, che ridendo e scherzando sono perfetti per questo tipo di backup freddi
Guardate nuovi prodotti, come Rubrik. ;)

si vabbè la questione non è esattamente così banale e il rischio di essere beccato in ogni caso e 100 volte più alto rispetto alle crypto
ransomware e cryptovalute si sono diffusi innegabilmente insieme e continueranno ad andare a braccetto

Certo, è semplicistico come l'ho descritto io, ma è quello che fanno le grandi organizzazioni mafiose e quant'altro :)
Il fatto che ransomware e cripto che vanno a braccetto, è ovvio, ma perché per l'hacker è più "user-friendly" miscelare la cripto che il bonifico, ma il concetto è identico ed entrambe sono tracciabili ;)

in una situazione simile alla tua, per una piccola realtà con non tantisismi dati da salvare e una decina di utenti io ho usato nas fuori dominio con abilitato solamente ftp e credenziali ftp salvate solamente nel programma di backup, credenziali specifiche che non vengono utilizzate per nessun altra attività e che non sono in possesso degli utenti

per il resto delle attività lavorativa gli utenti ormai si sono abituati, dopo aver acceduto ai vari fileserver, a lanciare un piccolo bat che elimina tutte le credenziali salvate (niente più di un net use * /delete)

alla fine ho visto che i vari ramsonware mappano gli share di rete mediante samba e pochi altri protocolli ma sftp pare apposto

beh qui siamo in 150
ma alla fine ho fatto una cosa simile, tramite qnap dedito solo a quello.
si usano mimikaz e simili per trovare gli hash delle utenze/password

https://www.overlandtandberg.com/products/rdx-removable-storage/

eheheh
grazie!:D

Guardate nuovi prodotti, come Rubrik. ;)
Barracuda, rubrik
belli ma costano parecchio

L'unico backup sicuro, è sul tavolo del sistemista, spento e magari in un'altra sede rispetto ai server.
Backup su HD esterno, sicuramente non On Line .

nas con accesso solo ftp è esattamente quello che ho fatto anche io per i backup critici
al momento ftp/sftp/ftps sembrerebbero sicuri dai ransomware :sperem:

Dipende , da quelli automatici direi di si . Se riescono a mettersi in mezzo, user e pass la sniffano in 2 secondi con ftp non secure. ovviamente devono avere interesse per perderci tutto questo tempo.

Dipende , da quelli automatici direi di si . Se riescono a mettersi in mezzo, user e pass la sniffano in 2 secondi con ftp non secure. ovviamente devono avere interesse per perderci tutto questo tempo.

In genere questo tipo di attacchi e target, sono fatti da altro, cioè ti spiego:
Ci sono dei gruppi che fanno attacchi per entrare sulla rete e rubare credenziali/assicurarsi di avere accesso alle rete per poi poterli venderle, poi un terzo attore come Darkside venderà il servizio ransomware o quant'altro per poi piantare un malware.

A società/enti di questa portata, difficilmente troverai un attore come attaccante, ma ne troverai molti. Uno che ha avuto accesso qualche giorno prima, il secondo attore, che ha comprato le credenziali dal primo attore e chi infetta le macchine per ricavarci soldi.

In genere questo tipo di attacchi e target, sono fatti da altro, cioè ti spiego:
Ci sono dei gruppi che fanno attacchi per entrare sulla rete e rubare credenziali/assicurarsi di avere accesso alle rete per poi poterli venderle, poi un terzo attore come Darkside venderà il servizio ransomware o quant'altro per poi piantare un malware.

A società/enti di questa portata, difficilmente troverai un attore come attaccante, ma ne troverai molti. Uno che ha avuto accesso qualche giorno prima, il secondo attore, che ha comprato le credenziali dal primo attore e chi infetta le macchine per ricavarci soldi.

https://i.ibb.co/T2LP3n3/Cattura.jpg (https://ibb.co/8scPZRZ)

ad esempio

Barracuda, rubrik
belli ma costano parecchio

Secondo me le unità RDX sono il sistema migliore per backup affidabile su supporto esterno.

Secondo me le unità RDX sono il sistema migliore per backup affidabile su supporto esterno.
Non sono d'accordo :)

Non sono d'accordo :)

Cosa suggerisci?