Attacco hacker Regione Lazio: il ransomware utilizzato potrebbe essere LockBit 2.0

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...-20_99653.html

Nella mattinata di domenica, la Regione Lazio ha subito un attacco ransomware che ha crittografato ogni file nel suo data center e ha interrotto la sua rete informatica. Adesso emerge qualche dettaglio in più sul ransomware che sembra sia stato usato per perpetrare l'attacco

Click sul link per visualizzare la notizia.

[Opteranium]

Se ho capito bene, è stata una mail contraffatta aperta da uno in smart working a tritare tutto.
Ma com'è possibile una cosa del genere, mi chiedo? Come fa uno col suo applicativo a distanza ad alterare tutta l'infrastruttura? Chi ne sa di più?

[aqua84]

BitLocker??? Siete sicuri sicuri??....

[demonsmaycry84]

emh si insomma la formazione del personale è sempre la difesa TOP .....troppi fastidi ed incredibile che non ci siano delle repliche delle macchine spente

[gabriweb]

Quote:

Originariamente inviato da Opteranium

Se ho capito bene, è stata una mail contraffatta aperta da uno in smart working a tritare tutto.
Ma com'è possibile una cosa del genere, mi chiedo? Come fa uno col suo applicativo a distanza ad alterare tutta l'infrastruttura? Chi ne sa di più?

Qui però vorrei informazioni aggiuntive più precise.

L'articolo riporta "Basta aprire le e-mail perché il malware venga scaricato ed eseguito" ma quindi questo significa che basta aprire la mail nel client di posta anche solo per leggerla e senza aprire allegati per far partire il ransomware? Possibile che la cosa non sia rilevabile dalla tecnologia euristica degli antivirus? @Redazione illuminaci. Se cosi fosse sarebbe veramente preoccupante!!!

[DarIOTheOriginal]

LockBit e Bitlocker sono due cose molto diverse, se non altro perchè il secondo è di MicroSoft!

[no_side_fx]

Quote:

Originariamente inviato da demonsmaycry84

emh si insomma la formazione del personale è sempre la difesa TOP .....troppi fastidi ed incredibile che non ci siano delle repliche delle macchine spente

ahaha sarà stato il classico impiegato quasi prossimo alla pensione che è già tanto che ha imparato ad accendere il pc e
si è fatto fregare dalla solita email di phishing e collegato in vpn da casa ha sventrato tutti i sistemi della regione senza manco essersi reso conto
chi gestisce l'it li dentro non ha neanche mezzo backup
e adesso per mascherare l'incompetenza lo chiamano pure "attacco terroristico" davanti ai giornalisti
pagliacci

[igiolo]

Quote:

Originariamente inviato da gabriweb

Qui però vorrei informazioni aggiuntive più precise.

L'articolo riporta "Basta aprire le e-mail perché il malware venga scaricato ed eseguito" ma quindi questo significa che basta aprire la mail nel client di posta anche solo per leggerla e senza aprire allegati per far partire il ransomware? Possibile che la cosa non sia rilevabile dalla tecnologia euristica degli antivirus? @Redazione illuminaci. Se cosi fosse sarebbe veramente preoccupante!!!

+1
e ci infilo anche la moria di account office365, sendgrid e google che ultimamente vengono rubati, e usati per spammare e distribuire malware.
tra i nostri fornitori abituali, 4 sono stati bucati, l'unica cosa che li accomuna era una mail di spam 1-2 gg prima che avevano soltanto "aperto", inteso come letta insomma
qualche codice html nel body? Js? che rubano le credenziali SSO?
sarebbe terribile.

[zappy]

Quote:

Originariamente inviato da gabriweb

Qui però vorrei informazioni aggiuntive più precise.

L'articolo riporta "Basta aprire le e-mail perché il malware venga scaricato ed eseguito" ma quindi questo significa che basta aprire la mail nel client di posta anche solo per leggerla e senza aprire allegati per far partire il ransomware? Possibile che la cosa non sia rilevabile dalla tecnologia euristica degli antivirus? @Redazione illuminaci. Se cosi fosse sarebbe veramente preoccupante!!!

anche a me sembra una cazzata. Sarebbe il caso di scrivere articoli sulla base di info un po' più tecniche.

[fabioss87]

Quote:

Originariamente inviato da Opteranium

Se ho capito bene, è stata una mail contraffatta aperta da uno in smart working a tritare tutto.
Ma com'è possibile una cosa del genere, mi chiedo? Come fa uno col suo applicativo a distanza ad alterare tutta l'infrastruttura? Chi ne sa di più?

Non ci sono ulteriori informazioni al riguardo , se, si sia infettato il pc del dirigente fuori sede o abbiano infettato il pc in sede.
Nel primo caso sicuramente non hanno segmentato la rete, nel secondo caso non ci sono vie di fuga , sfruttano qualche falla per infettare il dominio, supponendo che tutte le policy siano configurate . In questo caso credo sia stato fatto durante il weekend, quando gli amministratori sono fuori sede.

[igiolo]

Quote:

Originariamente inviato da zappy

anche a me sembra una cazzata. Sarebbe il caso di scrivere articoli sulla base di info un po' più tecniche.

considera che Libraesva, un noto antispam, ha inserito il disarm di eventuale codice html nei COMMENTI del codice html delle mail stesse, così come gli iframe, i tags ecc
passa codice malvevolo anche da li
quindi si, tecnicamente una mail, magari con client di posta vecchi, basta solo leggerla senza cliccare o aprire nulla.

[igiolo]

Quote:

Originariamente inviato da fabioss87

Non ci sono ulteriori informazioni al riguardo , se, si sia infettato il pc del dirigente fuori sede o abbiano infettato il pc in sede.
Nel primo caso sicuramente non hanno segmentato la rete, nel secondo caso non ci sono vie di fuga , sfruttano qualche falla per infettare il dominio, supponendo che tutte le policy siano configurate . In questo caso credo sia stato fatto durante il weekend, quando gli amministratori sono fuori sede.

+ che altro EDR, antivirus ecc
una manovra del genere richiede un EOP da subito...booh

[barzokk]

Quote:

Originariamente inviato da fabioss87

Non ci sono ulteriori informazioni al riguardo , se, si sia infettato il pc del dirigente fuori sede o abbiano infettato il pc in sede.
Nel primo caso sicuramente non hanno segmentato la rete, nel secondo caso non ci sono vie di fuga , sfruttano qualche falla per infettare il dominio, supponendo che tutte le policy siano configurate . In questo caso credo sia stato fatto durante il weekend, quando gli amministratori sono fuori sede.

Quoto te ma per tutti.... scusate ma avete presente il settore pubblico ?
E chi te lo fa fare di sbatterti se lo stipendio arriva lo stesso ?
Cercare di fare il meno possibile e tirarla per le lunghe, alla faccia dei cittadini e delle imprese, e vaffanqlo al mondo intero

[kreijack]

Quote:

Originariamente inviato da gabriweb

Qui però vorrei informazioni aggiuntive più precise.

L'articolo riporta "Basta aprire le e-mail perché il malware venga scaricato ed eseguito" ma quindi questo significa che basta aprire la mail nel client di posta anche solo per leggerla e senza aprire allegati per far partire il ransomware? Possibile che la cosa non sia rilevabile dalla tecnologia euristica degli antivirus? @Redazione illuminaci. Se cosi fosse sarebbe veramente preoccupante!!!

Anche io quando ho letto quel passaggio sono rimasto stranito. Senz'altro esistono exploit di questo tipo ma immagino siano molto specifici (funzionano solo con certi client email e per certe versioni). Ma mi riesce più semplice pensare che qualcuno abbia semplicemente dato retta al contenuto dell'email che diceva "lancia quest'eseguibile perché sei il 10.000.000 cliente !" ...

[fabioss87]

Quote:

Originariamente inviato da igiolo

+ che altro EDR, antivirus ecc
una manovra del genere richiede un EOP da subito...booh

Certamente , è diventato veramente difficile starci dietro, attacchi su tutti i fronti, interni, esterni, trasversali, falle, exploit ecc ecc .

[fraussantin]

Hanno chiesto solo 5 sacchi ... Si vede che lo sanno che siamo povery...

[NigthStalker_86]

Quote:

Originariamente inviato da Opteranium

Se ho capito bene, è stata una mail contraffatta aperta da uno in smart working a tritare tutto.
Ma com'è possibile una cosa del genere, mi chiedo? Come fa uno col suo applicativo a distanza ad alterare tutta l'infrastruttura? Chi ne sa di più?

Se non ci sono regole sulla VPN, dal tuo pc puoi accedere a tutta la rete interna, leggi datacenter.

Metti il caso: il tizio legge la mail, clicca sul link "SESSO GRATIS CLICCA QUI", ti scarica il malware di turno, che si avvia in automatico. Da qui inizia la scansione di tutte le unità di rete e via di crypto.
Alternativa: dopo la scansione, il malware avvia una sessione RDP/Teamviewer/Anydesk da un server random, bucato con admin/admin (UAU ). Chi sta dall'altra parte, si collega e inizia a mapparti tutta la rete. Quando si è fatto un'idea, il weekend (l'IT sarà al mare a farsi dei gintonic ) ti butta giù l'infrastruttura.

Non vorrei essere al loro posto.

[NigthStalker_86]

Quote:

Originariamente inviato da no_side_fx

ahaha sarà stato il classico impiegato quasi prossimo alla pensione che è già tanto che ha imparato ad accendere il pc e
si è fatto fregare dalla solita email di phishing e collegato in vpn da casa ha sventrato tutti i sistemi della regione senza manco essersi reso conto
chi gestisce l'it li dentro non ha neanche mezzo backup
e adesso per mascherare l'incompetenza lo chiamano pure "attacco terroristico" davanti ai giornalisti
pagliacci

Per esperienza i più boccaloni/distruttori sono quelli nella fascia 20-26 anni. Occhio che le nuove generazioni non sanno accendere un PC: solo app e dispositivi mobile.

[Opteranium]

Quote:

Originariamente inviato da NigthStalker_86

Se non ci sono regole sulla VPN, dal tuo pc puoi accedere a tutta la rete interna, leggi datacenter.

Metti il caso: il tizio legge la mail, clicca sul link "SESSO GRATIS CLICCA QUI", ti scarica il malware di turno, che si avvia in automatico. Da qui inizia la scansione di tutte le unità di rete e via di crypto.
Alternativa: dopo la scansione, il malware avvia una sessione RDP/Teamviewer/Anydesk da un server random, bucato con admin/admin (UAU ). Chi sta dall'altra parte, si collega e inizia a mapparti tutta la rete. Quando si è fatto un'idea, il weekend (l'IT sarà al mare a farsi dei gintonic ) ti butta giù l'infrastruttura.

Non vorrei essere al loro posto.

Disarmante..!

[SpyroTSK]

Quote:

Originariamente inviato da igiolo

+ che altro EDR, antivirus ecc
una manovra del genere richiede un EOP da subito...booh

fare un'EOP su un server, magari senza patch è relativamente semplice:
https://csirt.gov.it/contenuti/nuova...0716-csirt-ita
https://csirt.gov.it/contenuti/patch...0721-csirt-ita
(e sono solo i primi due recenti che mi vengono in mente)

Inoltre, non è detto che serva effettivamente farlo.
https://csirt.gov.it/contenuti/micro...0518-csirt-ita
ad esempio, usando questa falla potrei benissimo far eseguire a IIS (che viene avviato tramite utente di sistema) un download di un loader (offuscato) che scarica a sua volta, vari payload (a sua volta offuscati e magari a catena) che fanno:
1) bypass/inibizione antivirus
2) scarica un'ulteriore payload
- 2a) tunnel vpn criptato tramite un server esterno
- 2c) se nella macchina infettata, trovano un'utente attivo tarmite RDP (anche solo disconnesso, ma la sessione è attiva) tramite tool tipo il Mimikatz
- 2d) analizzano tutta la rete e dominio (tramite l'utente di dominio loggato) in cerca di macchine ulteriori da infettare e/o dispositivi di backup
- 2e) tramite le credenziali ottenute e/o falle trovate tramite la scansione della rete accedono ad altri dispositivi e ripetono il punto due per intero fino all'ultimo punto
- 2f) viene caricato il malware che effettivamente cripta il tutto il contenuto delle macchine accessibili tramite ramsonware.

Fine.

La soluzione ai ramsonware è solo uno, trovare una soluzione di backup AFFIDABILE e avere una piano di recupero SERIO.