Attacco hacker Regione Lazio: il ransomware utilizzato potrebbe essere LockBit 2.0

[no_side_fx]

Quote:

Originariamente inviato da fabioss87

Certamente , è diventato veramente difficile starci dietro, attacchi su tutti i fronti, interni, esterni, trasversali, falle, exploit ecc ecc .

i brute force li fanno da sempre e quelli bucati sono come al solito quelli che usano password da ebeti

[aqua84]

Quote:

Originariamente inviato da SpyroTSK

La soluzione ai ramsonware è solo uno, trovare una soluzione di backup AFFIDABILE e avere una piano di recupero SERIO.

eh già, la penso anche io così.

ma mi sa che sarà ancora lunga... fino a che ci saranno realtà come queste, con aziende disposte (obbligate) a pagare, si continuerà a chiedere il riscatto dei dati

[SpyroTSK]

Quote:

Originariamente inviato da no_side_fx

i brute force li fanno da sempre e quelli bucati sono come al solito quelli che usano password da ebeti

appunto, i bruteforce lineari (00001, 00011 ecc) sono quasi passati di moda, si và di rainbow table, chiavi ssh/ldap/kerberos sniffate, certificati collezionati ecc.

[fraussantin]

Che vi devo dire , se nei server di Google o di Microsoft ancora non ci sono entrati il verso per farli sicuri c'è.

Nel caso estremo si può fare anche il backup notturno manuale su server separati magari alternandoli , e non da remoto.
È un po' estremo è sicuramente richiede molto tempo a quei livelli , ma almeno si ha la certezza che non ci venga messo mano . ( Per i costi vabbè buttano palanche di soldi in inutilità ... Almeno questo sarebbe utile)

[SpyroTSK]

Quote:

Originariamente inviato da aqua84

eh già, la penso anche io così.

ma mi sa che sarà ancora lunga... fino a che ci saranno realtà come queste, con aziende disposte (obbligate) a pagare, si continuerà a chiedere il riscatto dei dati

Ma è una cosa stupida, perché pagare (tanti o pochi soldi che siano) dei criminali quando effettivamente vieni attaccato?
Non convine invece, prevenire, pagando un IT decente e dando disponibilità di un budget annuo per la sicurezza informatica?
Le aziende fanno fare corsi ai mulettisti, antincendio, sicurezza sul luogo di lavoro ecc, perché non possono fargli fare anche un corso sulla sicurezza informatica (basico, ovviamente) ad ogni singola scimmia che usa un PC?

[no_side_fx]

Quote:

Originariamente inviato da SpyroTSK

La soluzione ai ramsonware è solo uno, trovare una soluzione di backup AFFIDABILE e avere una piano di recupero SERIO

la seconda sarebbe bannare le crypto visto che sta rottura di palle è una conseguenza diretta

[gabriweb]

Quote:

Originariamente inviato da igiolo

considera che Libraesva, un noto antispam, ha inserito il disarm di eventuale codice html nei COMMENTI del codice html delle mail stesse, così come gli iframe, i tags ecc
passa codice malvevolo anche da li
quindi si, tecnicamente una mail, magari con client di posta vecchi, basta solo leggerla senza cliccare o aprire nulla.

Questo è decisamente preoccupante!!!
Sui pc aziendali usiamo Bitdefender Endpoint Security Tools che amministro da cloud su GravityZone. Mi sembra che la soluzione faccia il suo lavoro, infatti ogni tanto ricevo mail con allegati sospetti e il programma cambia l'oggetto della mail con il tag di disinfezione, quindi il suo lavoro lo fa... Ora spero lo faccia anche per eventuale codice malevolo nascosto nel body html delle mail, altrimenti si profila la necessità di una cyber-awareness ancora più profonda durante la formazione coi dipendenti. A questo punto è forse meglio cancellare la mail col tasto destro senza neanche farla visualizzare dentro il client!

[SpyroTSK]

Quote:

Originariamente inviato da fraussantin

Che vi devo dire , se nei server di Google o di Microsoft ancora non ci sono entrati il verso per farli sicuri c'è.

Nel caso estremo si può fare anche il backup notturno manuale su server separati magari alternandoli , e non da remoto.
È un po' estremo è sicuramente richiede molto tempo a quei livelli , ma almeno si ha la certezza che non ci venga messo mano . ( Per i costi vabbè buttano palanche di soldi in inutilità ... Almeno questo sarebbe utile)

L'unico backup sicuro, è sul tavolo del sistemista, spento e magari in un'altra sede rispetto ai server.

[!fazz]

Quote:

Originariamente inviato da no_side_fx

i brute force li fanno da sempre e quelli bucati sono come al solito quelli che usano password da ebeti

piccola precisazione se beccano chi "usano password da ebeti" significa che non usano bruteforce ma attacchi a dizionario

il bruteforce non potrai mai eliminarlo, puoi stocasticamente rendere sicuro il sistema ingrandendo la chiave e interponendo, dove possibile, limitazioni ai tentativi di accesso ma esiste sempre la possibilità (infinitesimale) di sculata ovvero di indovinare la chiave.

questo è sempre più vero tanto più l'algoritmo di cifratura ha qualche anno di vita, vedi ad esempio il triplo des che è stato violato (su file ) in poche ore prima da migliaia di asic costruiti ad hoc (des cracker) e anni dopo con poche decine di spartan III (COPACOBANA) ed era lo standard di riferimento dell'epoca giustamente poi sostituito da aes

[SpyroTSK]

Quote:

Originariamente inviato da no_side_fx

la seconda sarebbe bannare le crypto visto che sta rottura di palle è una conseguenza diretta

Soluzione decisamente impossibile e comunque inutile.

[no_side_fx]

Quote:

Originariamente inviato da SpyroTSK

Soluzione decisamente impossibile e comunque inutile.

certo perchè senza crypto ti chiedono lo stesso il riscatto col bonifico bancario
ed è fattibilissimo vedi la cina

[!fazz]

Quote:

Originariamente inviato da SpyroTSK

L'unico backup sicuro, è sul tavolo del sistemista, spento e magari in un'altra sede rispetto ai server.

come dicevano a me l'unico sistema sicuro è un sistema isolato dalla rete e spento quindi per definizione un sistema inutile.

non esiste mai nella sicurezza informatica la sicurezza completa al 100% tutto sta a rendere agli attancanti il lavoro così lungo da renderlo non vantaggioso / non remunerativo

[igiolo]

Quote:

Originariamente inviato da SpyroTSK

fare un'EOP su un server, magari senza patch è relativamente semplice:
https://csirt.gov.it/contenuti/nuova...0716-csirt-ita
https://csirt.gov.it/contenuti/patch...0721-csirt-ita
(e sono solo i primi due recenti che mi vengono in mente)

Inoltre, non è detto che serva effettivamente farlo.
https://csirt.gov.it/contenuti/micro...0518-csirt-ita
ad esempio, usando questa falla potrei benissimo far eseguire a IIS (che viene avviato tramite utente di sistema) un download di un loader (offuscato) che scarica a sua volta, vari payload (a sua volta offuscati e magari a catena) che fanno:
1) bypass/inibizione antivirus
2) scarica un'ulteriore payload
- 2a) tunnel vpn criptato tramite un server esterno
- 2c) se nella macchina infettata, trovano un'utente attivo tarmite RDP (anche solo disconnesso, ma la sessione è attiva) tramite tool tipo il Mimikatz
- 2d) analizzano tutta la rete e dominio (tramite l'utente di dominio loggato) in cerca di macchine ulteriori da infettare e/o dispositivi di backup
- 2e) tramite le credenziali ottenute e/o falle trovate tramite la scansione della rete accedono ad altri dispositivi e ripetono il punto due per intero fino all'ultimo punto
- 2f) viene caricato il malware che effettivamente cripta il tutto il contenuto delle macchine accessibili tramite ramsonware.

Fine.

La soluzione ai ramsonware è solo uno, trovare una soluzione di backup AFFIDABILE e avere una piano di recupero SERIO.

esatto
non è idiosincratico ciò che ho scritto io con quello che hai scritto tu!

[SpyroTSK]

Quote:

Originariamente inviato da no_side_fx

perchè ti senza ti chiedono lo stesso il riscatto col bonifico?

Volendo sì, l'intercettazione tra bitcoin -> mixer -> wallet di destinazione avviene allo stesso modo con i bonifici, basta che tu apra 200 conti correnti in giro per il mondo a nome di varie persone a cui hai ciulato i documenti.

In italia, per esempio, le telecamere non potrebbero registrare più di 7gg, dopo diventano prove non ammissibili e potrebbero perdere la causa.

Dopo alcuni mesi dall'apertura dei conti, infetti un pc/server e richiedi un pagamento tramite il conto XXX, appena arriva il bonifico, tramite BOT inizi a miscelare tutti i pagamenti dei vari 200 conti che hai aperto.
Successivamente, miscelati abbondantemente, inizi a tirarli fuori, come?
Ad esempio, compri armi, droga e le rivendi, oppure più semplicemente, "vendi" il conto corrente per contati alla mafia, ovvero, fai reciclaggio di denaro

[igiolo]

Quote:

Originariamente inviato da !fazz

come dicevano a me l'unico sistema sicuro è un sistema isolato dalla rete e spento quindi per definizione un sistema inutile.

non esiste mai nella sicurezza informatica la sicurezza completa al 100% tutto sta a rendere agli attancanti il lavoro così lungo da renderlo non vantaggioso / non remunerativo

esatto
io sto cercando di trovare una soluzione back offline...ma non troppo
una nas fuori dominio, con job al di fuori di quelli classici schedulati da Veeam (x es.)
o
si torna ai nastri, che ridendo e scherzando sono perfetti per questo tipo di backup freddi

[SpyroTSK]

Quote:

Originariamente inviato da !fazz

come dicevano a me l'unico sistema sicuro è un sistema isolato dalla rete e spento quindi per definizione un sistema inutile.

non esiste mai nella sicurezza informatica la sicurezza completa al 100% tutto sta a rendere agli attancanti il lavoro così lungo da renderlo non vantaggioso / non remunerativo

No, non è inutile, un sistema di backup rotativo che và offline (come gli RDX) sono favolosi.

Certo, non hai il backup istantaneo (al massimo di qualche gg), ma almeno non hai perso TUTTO.

[SpyroTSK]

Quote:

Originariamente inviato da igiolo

esatto
io sto cercando di trovare una soluzione back offline...ma non troppo
una nas fuori dominio, con job al di fuori di quelli classici schedulati da Veeam (x es.)
o
si torna ai nastri, che ridendo e scherzando sono perfetti per questo tipo di backup freddi

https://www.overlandtandberg.com/pro...vable-storage/

[!fazz]

Quote:

Originariamente inviato da igiolo

esatto
io sto cercando di trovare una soluzione back offline...ma non troppo
una nas fuori dominio, con job al di fuori di quelli classici schedulati da Veeam (x es.)
o
si torna ai nastri, che ridendo e scherzando sono perfetti per questo tipo di backup freddi

in una situazione simile alla tua, per una piccola realtà con non tantisismi dati da salvare e una decina di utenti io ho usato nas fuori dominio con abilitato solamente ftp e credenziali ftp salvate solamente nel programma di backup, credenziali specifiche che non vengono utilizzate per nessun altra attività e che non sono in possesso degli utenti

per il resto delle attività lavorativa gli utenti ormai si sono abituati, dopo aver acceduto ai vari fileserver, a lanciare un piccolo bat che elimina tutte le credenziali salvate (niente più di un net use * /delete)

alla fine ho visto che i vari ramsonware mappano gli share di rete mediante samba e pochi altri protocolli ma sftp pare apposto

[SpyroTSK]

Quote:

Originariamente inviato da !fazz

in una situazione simile alla tua, per una piccola realtà con non tantisismi dati da salvare e una decina di utenti io ho usato nas fuori dominio con abilitato solamente ftp e credenziali ftp salvate solamente nel programma di backup, credenziali specifiche che non vengono utilizzate per nessun altra attività e che non sono in possesso degli utenti

per il resto delle attività lavorativa gli utenti ormai si sono abituati, dopo aver acceduto ai vari fileserver, a lanciare un piccolo bat che elimina tutte le credenziali salvate (niente più di un net use * /delete)

alla fine ho visto che i vari ramsonware mappano gli share di rete mediante samba e pochi altri protocolli ma sftp pare apposto

Puoi usare anche un RDX via USB sul NAS e 2 o più cassette rotative.

[!fazz]

Quote:

Originariamente inviato da SpyroTSK

Puoi usare anche un RDX via USB sul NAS e 2 o più cassette rotative.

può essere una soluzione, attualmente oltre a questo ogni tot mesi salvo tutto su glacier per pochi dollari al mese ma è un attività manuale durante le manutenzioni (e che occupa un botto di tempo visto la banda che occupa)