Storia dell'attacco ransomware finito male: hacker scoperti e battaglia all'ultimo sangue

Un gruppo di hacker è riuscito ad installare uno strumento di remote desktop su oltre 100 macchine in una rete, con l'obiettivo di comprometterla usando un ransomware per renderla inutilizzabile e chiedere un riscatto. I loro piani sono stati però sventati all'ultimo momento, dopo che una task-force di sicurezza informatica è stata ingaggiata quando l'azienda-vittima ha individuato software sospetto sulla sua rete.

Gli sforzi degli attaccanti sono stati vanificati dopo che l'azienda - il cui nome non è noto e viene descritta come una generica "media company" - ha ingaggiato la società di sicurezza Sophos, a seguito dell'individuazione sulla propria rete dello strumento Cobalt Strike, un tool legittimo ma che viene spesso sfruttato dai criminali nelle prime fasi di un attacco ransomware poiché tra le sue caratteristiche vi è la capacità di funzionare in memoria rendendo difficile il rilevamento.

Paul Jacobs, responsabile incident response per Sophos, ha dichiarato: "A causa della pandemia non è insolito trovare applicazioni di accesso remoto installate sui dispositivi dei dipendenti. Quando abbiamo visto Screen Connect su 130 endpoint abbiamo pensato che fosse stato installato intenzionalmente, per dare supporto a coloro i quali lavorano da casa. Ma abbiamo scoperto che l'azienda non ne sapeva nulla: gli attaccanti hanno installato il software per assicurarsi un accesso alla rete e ai dispositivi compromessi".

L'obiettivo del gruppo di hacker era quello di crittografare il maggior numero possibile di sistemi presenti sulla rete usando il ransomware REvil. Il piano è stato mandato a gambe all'aria per tempo, sebbene gli attaccanti siano riusciti a crittografare i dati su alcuni dispositivi non protetti e cancellato i backup quando si sono resi conto di essere stati scoperti. In una richiesta di riscatto lasciata su uno dei pochi dispositivi compromessi, il gruppo ha preteso 2,5 milioni di dollari in bitcoin per comunicare la chiave di cifratura, che comunque non sono stati pagati.

"Una delle maggiori sfide per la risposta agli incidenti è la mancanza di visibilità su ciò che sta accadendo sui dispositivi non protetti. Possiamo vedere e bloccare gli attacchi in entrata provenienti da questi dispositivi a un endpoint protetto, ma non possiamo rimuovere centralmente l'intruso da quei dispositivi o vedere cosa stanno facendo" ha sottolineato Jacobs.

Si è consumata una fase di vera e propria risposta all'attacco in tempo reale: ogni tentativo effettuato dagli hacker doveva essere bloccato e approfondito per assicurarsi che non ci fosse nient'altro in corso e che non ci fossero ulteriori danni. In questo lasso di tempo gli aggressori avevano già lanciato il secondo tentativo di attacco. Un compito, quello degli esperti di sicurezza, già difficile di base, ma ancor più complesso in questo frangente poiché l'azienda aveva la necessità di mantenere la maggior parte dei suoi sistemi online per supportare le proprie attività 24:7. Sono stati necessari oltre due giorni per costringere gli aggressori ad abbandonare i propri propositi.

Peter Mackenzie, direttore di Sophos Rapid Response, commenta: "Nella maggior parte dei casi, quando veniamo chiamati l'attacco è già avvenuto e il nostro compito è quello di aiutare a contenere, neutralizzare e indagare sulle conseguenze. In questa occasione eravamo lì mentre si svolgeva la fase finale dell'attacco e abbiamo potuto vedere in prima persona la determinazione e la crescente frustrazione degli attaccanti, che ci hanno tirato addosso di tutto, da tutte le direzioni possibili".

Ricordiamo che REvil è un vero e proprio ransomware-as-a-service, il che significa che chi è interessato a compiere un attacco può affittare il malware dagli sviluppatori e quindi utilizzare i propri strumenti e risorse per aggredire il proprio bersaglio. Nel caso specifico di questo attacco la "media company" operava circa 600 dispositivi "computing" genericamente intesi, 25 dei quali server, e tre domini Active Directory, che erano fondamentali per la capacità dell'azienda di mantenere le sue operazioni 24 ore su 24, 7 giorni su 7.

Il team di Sophos sottolinea che questo episodio può rappresentare l'occasione di considerare attentamente due aspetti quando si tratta di difendere risorse informatiche. Il primo è quello della gestione del rischio: nel momento in cui si apportano modifiche ad un ambiente operativo (nel caso specifico una rete air-gapped è stata esposta sulla rete per consentire di lavorare da remoto), il livello di rischio si modifica di conseguenza con nuove vulnerabilità che devono essere prese in considerazione e adeguatamente affrontate. Il secondo aspetto è quello della conservazione dei dati per agevolare le successive procedure di disaster recovery o per le indagini forensi: in questo caso il primo account violato apparteneva ad un utente del team IT, di cui sono stati eliminati tutti i dati perdendo così traccia della compromissione originale. Più informazioni vengono mantenute intatte, più è facile vedere cosa sia accaduto, quali contromisure mettere in atto e come proteggersi adeguatamente perché l'incidente non si verifichi ancora.