Attacco hacker Regione Lazio: il ransomware utilizzato potrebbe essere LockBit 2.0

[omerook]

Quote:

Originariamente inviato da SpyroTSK

L'unico backup sicuro, è sul tavolo del sistemista, spento e magari in un'altra sede rispetto ai server.

Magari che usi una tecnologia non riscrivibile dove sia impossibilie altrare il dati neanche per sbaglio tipo i dvd per rendere l'dea.
Credo che chi sviluppa tale sistema di backup puo fare molti soldi nei prossimi anni

[SpyroTSK]

Quote:

Originariamente inviato da !fazz

può essere una soluzione, attualmente oltre a questo ogni tot mesi salvo tutto su glacier per pochi dollari al mese ma è un attività manuale durante le manutenzioni (e che occupa un botto di tempo visto la banda che occupa)

Comunque, su Veeam (usi quello da quanto ho capito) non usare un utente di dominio per accedere al suo pannello, ma creati una user e pass ad hoc, tempo fà da un cliente è successo che gli hanno sgamato la password dell'administrator perché un vecchio sistemista gli aveva installato Veeam con l'utente admin di dominio, che però, poi gli attaccanti una volta avuto accesso al server, hanno aperto veeam e a mano, hanno cancellato i backup e i job.
Ovviamente, non avevano altre copie, se non nel NAS e un'hdd esterno collegato al nas, che però sfiga vuole, si è bruciato qualche settimana prima, visto che i logs di Qnap non li leggeva nessuno non potevano saperlo.

[SpyroTSK]

Quote:

Originariamente inviato da omerook

Magari che usi una tecnologia non riscrivibile dove sia impossibilie altrare il dati neanche per sbaglio tipo i dvd per rendere l'dea

Infatti gli RDX hanno un piedino che sposti (tipo i vecchi floppy o Iomegazip) e quel disco è in readonly.

[fabioss87]

Quote:

Originariamente inviato da no_side_fx

i brute force li fanno da sempre e quelli bucati sono come al solito quelli che usano password da ebeti

Certo , ma sono tecniche spicciole, sgamabili e bloccabili tramite firewall o addirittura tramite applicativo.

[!fazz]

Quote:

Originariamente inviato da SpyroTSK

Comunque, su Veeam (usi quello da quanto ho capito) non usare un utente di dominio per accedere al suo pannello, ma creati una user e pass ad hoc, tempo fà da un cliente è successo che gli hanno sgamato la password dell'administrator perché un vecchio sistemista gli aveva installato Veeam con l'utente admin di dominio, che però, poi gli attaccanti una volta avuto accesso al server, hanno aperto veeam e a mano, hanno cancellato i backup e i job.
Ovviamente, non avevano altre copie, se non nel NAS e un'hdd esterno collegato al nas, che però sfiga vuole, si è bruciato qualche settimana prima, visto che i logs di Qnap non li leggeva nessuno non potevano saperlo.

tutto il sistema di backup è fuori dominio credenziali incluse è la prima cosa che ho fatto

[Nui_Mg]

Quote:

Normalmente, Lockbit 2.0 infetta i computer servendosi di un'email di spam che assomiglia alle e-mail di Amazon, eBay, banche o compagnie assicurative.

Quindi conferma quello che ha detto ieri al TG2 la responsabile. Dopo di che...

Quote:

Basta aprire le e-mail perché il malware venga scaricato ed eseguito.

Falso, se non si attuano le misure elementari che sono starnazzate da almeno 15 anni e che ogni utente (non parliamo poi dei responsabili), soprattutto di una grande organizzazione, dovrebbero sapere e attuare a memoria, coadiuvati anche da programmi mail seri che hanno l'opzione di non interpretare eventuale codice (html, javascript, vbs, vattelapesca, ecc.) presente in una mail. Poi il solito WSH da impostare diversamente dal suo default o al limite disattivare.

Se è vero quanto dice la responsabile a proposito del link postale "malefico", non è stato un attacco sofisticato, ma semplicemente uno dei soliti attacchi per idioti.

[omerook]

Quote:

Originariamente inviato da SpyroTSK

Infatti gli RDX hanno un piedino che sposti (tipo i vecchi floppy o Iomegazip) e quel disco è in readonly.

il sistema è interessante ma ce un momento critico dove lo sblocchi e lo colleghi al sistema per un nuovo backup e quello potrebbe essere un momento per attaccarlo.
io pensavo piu qualcosa tipo cartuccie o dichi dove si fai il backup si stacca e si stocca nel cavo sperando che non serva mai più.

[zappy]

Quote:

Originariamente inviato da igiolo

considera che Libraesva, un noto antispam, ha inserito il disarm di eventuale codice html nei COMMENTI del codice html delle mail stesse, così come gli iframe, i tags ecc
passa codice malvevolo anche da li
quindi si, tecnicamente una mail, magari con client di posta vecchi, basta solo leggerla senza cliccare o aprire nulla.

voglio sperare che qualunque parser html diciamo degli ultimi 5-10 anni sia in grado di distinguere l'html da altra schifezza...

[no_side_fx]

Quote:

Originariamente inviato da SpyroTSK

Volendo sì, l'intercettazione tra bitcoin -> mixer -> wallet di destinazione avviene allo stesso modo con i bonifici, basta che tu apra 200 conti correnti in giro per il mondo a nome di varie persone a cui hai ciulato i documenti.

In italia, per esempio, le telecamere non potrebbero registrare più di 7gg, dopo diventano prove non ammissibili e potrebbero perdere la causa.

Dopo alcuni mesi dall'apertura dei conti, infetti un pc/server e richiedi un pagamento tramite il conto XXX, appena arriva il bonifico, tramite BOT inizi a miscelare tutti i pagamenti dei vari 200 conti che hai aperto.
Successivamente, miscelati abbondantemente, inizi a tirarli fuori, come?
Ad esempio, compri armi, droga e le rivendi, oppure più semplicemente, "vendi" il conto corrente per contati alla mafia, ovvero, fai reciclaggio di denaro

si vabbè la questione non è esattamente così banale e il rischio di essere beccato in ogni caso e 100 volte più alto rispetto alle crypto
ransomware e cryptovalute si sono diffusi innegabilmente insieme e continueranno ad andare a braccetto

[no_side_fx]

Quote:

Originariamente inviato da !fazz

in una situazione simile alla tua, per una piccola realtà con non tantisismi dati da salvare e una decina di utenti io ho usato nas fuori dominio con abilitato solamente ftp e credenziali ftp salvate solamente nel programma di backup, credenziali specifiche che non vengono utilizzate per nessun altra attività e che non sono in possesso degli utenti

nas con accesso solo ftp è esattamente quello che ho fatto anche io per i backup critici
al momento ftp/sftp/ftps sembrerebbero sicuri dai ransomware

[NigthStalker_86]

Quote:

Originariamente inviato da !fazz

come dicevano a me l'unico sistema sicuro è un sistema isolato dalla rete e spento quindi per definizione un sistema inutile.

non esiste mai nella sicurezza informatica la sicurezza completa al 100% tutto sta a rendere agli attancanti il lavoro così lungo da renderlo non vantaggioso / non remunerativo

Quote:

Originariamente inviato da igiolo

esatto
io sto cercando di trovare una soluzione back offline...ma non troppo
una nas fuori dominio, con job al di fuori di quelli classici schedulati da Veeam (x es.)
o
si torna ai nastri, che ridendo e scherzando sono perfetti per questo tipo di backup freddi

Guardate nuovi prodotti, come Rubrik.

[SpyroTSK]

Quote:

Originariamente inviato da no_side_fx

si vabbè la questione non è esattamente così banale e il rischio di essere beccato in ogni caso e 100 volte più alto rispetto alle crypto
ransomware e cryptovalute si sono diffusi innegabilmente insieme e continueranno ad andare a braccetto

Certo, è semplicistico come l'ho descritto io, ma è quello che fanno le grandi organizzazioni mafiose e quant'altro
Il fatto che ransomware e cripto che vanno a braccetto, è ovvio, ma perché per l'hacker è più "user-friendly" miscelare la cripto che il bonifico, ma il concetto è identico ed entrambe sono tracciabili

[igiolo]

Quote:

Originariamente inviato da !fazz

in una situazione simile alla tua, per una piccola realtà con non tantisismi dati da salvare e una decina di utenti io ho usato nas fuori dominio con abilitato solamente ftp e credenziali ftp salvate solamente nel programma di backup, credenziali specifiche che non vengono utilizzate per nessun altra attività e che non sono in possesso degli utenti

per il resto delle attività lavorativa gli utenti ormai si sono abituati, dopo aver acceduto ai vari fileserver, a lanciare un piccolo bat che elimina tutte le credenziali salvate (niente più di un net use * /delete)

alla fine ho visto che i vari ramsonware mappano gli share di rete mediante samba e pochi altri protocolli ma sftp pare apposto

beh qui siamo in 150
ma alla fine ho fatto una cosa simile, tramite qnap dedito solo a quello.
si usano mimikaz e simili per trovare gli hash delle utenze/password

[igiolo]

Quote:

Originariamente inviato da SpyroTSK

https://www.overlandtandberg.com/pro...vable-storage/

eheheh
grazie!

[igiolo]

Quote:

Originariamente inviato da NigthStalker_86

Guardate nuovi prodotti, come Rubrik.

Barracuda, rubrik
belli ma costano parecchio

[tallines]

Quote:

Originariamente inviato da SpyroTSK

L'unico backup sicuro, è sul tavolo del sistemista, spento e magari in un'altra sede rispetto ai server.

Backup su HD esterno, sicuramente non On Line .

[fabioss87]

Quote:

Originariamente inviato da no_side_fx

nas con accesso solo ftp è esattamente quello che ho fatto anche io per i backup critici
al momento ftp/sftp/ftps sembrerebbero sicuri dai ransomware

Dipende , da quelli automatici direi di si . Se riescono a mettersi in mezzo, user e pass la sniffano in 2 secondi con ftp non secure. ovviamente devono avere interesse per perderci tutto questo tempo.

[SpyroTSK]

Quote:

Originariamente inviato da fabioss87

Dipende , da quelli automatici direi di si . Se riescono a mettersi in mezzo, user e pass la sniffano in 2 secondi con ftp non secure. ovviamente devono avere interesse per perderci tutto questo tempo.

In genere questo tipo di attacchi e target, sono fatti da altro, cioè ti spiego:
Ci sono dei gruppi che fanno attacchi per entrare sulla rete e rubare credenziali/assicurarsi di avere accesso alle rete per poi poterli venderle, poi un terzo attore come Darkside venderà il servizio ransomware o quant'altro per poi piantare un malware.

A società/enti di questa portata, difficilmente troverai un attore come attaccante, ma ne troverai molti. Uno che ha avuto accesso qualche giorno prima, il secondo attore, che ha comprato le credenziali dal primo attore e chi infetta le macchine per ricavarci soldi.

[igiolo]

Quote:

Originariamente inviato da SpyroTSK

In genere questo tipo di attacchi e target, sono fatti da altro, cioè ti spiego:
Ci sono dei gruppi che fanno attacchi per entrare sulla rete e rubare credenziali/assicurarsi di avere accesso alle rete per poi poterli venderle, poi un terzo attore come Darkside venderà il servizio ransomware o quant'altro per poi piantare un malware.

A società/enti di questa portata, difficilmente troverai un attore come attaccante, ma ne troverai molti. Uno che ha avuto accesso qualche giorno prima, il secondo attore, che ha comprato le credenziali dal primo attore e chi infetta le macchine per ricavarci soldi.

ad esempio

[gabriweb]

Quote:

Originariamente inviato da igiolo

Barracuda, rubrik
belli ma costano parecchio

Secondo me le unità RDX sono il sistema migliore per backup affidabile su supporto esterno.