Ransomware: evoluzione delle minacce
In questi ultimi giorni si è tornati a parlare di Ransomware soprattutto in Italia a causa dell’attacco rivendicato il 15 agosto dal gruppo criminale denominato Medusa a Postel SpA, società controllata del gruppo di Poste Italiane che si occupa della conservazione documentale e della gestione di marketing e comunicazione aziendale. L’attacco è stato rilevato e pubblicato dalla piattaforma online DRM – Dashboard Ransomware Monitor e il 18 agosto 2023 il gruppo Postel S.p.A. ha pubblicato il seguente comunicato:
“La società Postel S.p.A. ha individuato delle attività anomale sui propri sistemi, attribuibili ad un attore esterno non autorizzato. La Società ha pertanto precauzionalmente interrotto le attività produttive e l’operatività di alcuni server, nonché di alcune postazioni di lavoro distribuite sul territorio nazionale. A fronte delle attività anomale sono state tempestivamente avviate le necessarie attività di verifica, al fine di individuare i potenziali impatti sui sistemi e intraprendere le opportune e conseguenti azioni di mitigazione e di ripristino dell’operatività. In data 15 agosto 2023, il gruppo criminale Medusa ha rivendicato tali attività, pubblicando, sul proprio blog, la notizia di un attacco ransomware effettuato sui sistemi di Postel S.p.A. Attualmente risultano essere stati interessati solo dati interni all’azienda. La società ha già parzialmente ripristinato i servizi e sta lavorando per completare velocemente il completo ripristino dei sistemi. Inoltre, è già stata verificata la completa disponibilità degli archivi di backup dei sistemi, verifica che permetterà una completa azione di recupero. Si precisa che allo stato attuale si è proceduto al ripristino parziale di alcuni sistemi, in particolare dei sistemi business critical. L’estromissione dai sistemi di Postel dell’attore malevolo è avvenuta prontamente in prossimità del rilevamento delle attività anomale stesse. Nel caso ci fossero ulteriori aggiornamenti, sarà nostra cura tenere informati tutti gli stakeholder in ordine alle informazioni necessarie a tutelare i loro interessi.”
Medusa ha chiesto a Postel un riscatto di 500 mila dollari per rientrare in possesso dei dati, a cui si devono sommare 10 mila dollari al giorno per posticipare di 24 ore la scadenza, il termine entro cui adempiere al pagamento è di otto giorni e decorre dal 15 agosto in caso contrario i dati rubati saranno divulgati.
Questo attacco come molti altri prima di questo evidenziano l’evoluzione che c’è stata nel corso degli anni, oggi infatti come evidenziato nel report Ransomware on the Move: Evolving Exploitation Techniques and the Active Pursuit of Zero-Days pubblicato il 7agosto 2023 da Akamai il vero problema non è più tanto la cifratura dei dati a cui si può rimediare con una corretta politica di backup, ma piuttosto il fatto che i dati vengono esfiltrati prima che cifrati.
Per questo motivo, come viene chiaramente indicato nel report il backup non è più la soluzione per rispondere ad un attacco ransomware in quanto se i dati vengono esfiltrati il riuscire a fa ritornare funzionanti i sistemi non risolve il problema della diffusione dei dati:
“This shift represents a significant escalation in the tactics employed by these malicious actors, demonstrating their adaptability and determination to maximize the impact of their attacks. As organizations continue to bolster their cybersecurity defenses, it becomes imperative that file backup solutions no longer be used as a comprehensive solution to combat ransomware groups. To address the current challenges, organizations must prioritize proactive measures, such as network segmentation, vulnerability management, “virtual” and timely patching, and proactive monitoring of file transfer systems to mitigate the risk of falling victim to ransomware groups attacks.”
Diventa quindi fondamentale riuscire difendere concretamente le infrastrutture informatiche da phishing, abuso di credenziali, vulnerabilità zero-day e one-day e avere modo di individuare tempestivamente eventuali movimenti laterali all’interno della propria infrastruttura.
Un altro approccio che può avere senso perseguire è eseguire preventivamente dei controlli su quali inerenti la propria infrastruttura stiano circolando in rete per frutto di altri data breach o perchè il pc di qualche dipendente o consulente è stato compromesso e tramite esso sono stati esfiltrati dati che potrebbero consentire un’attacco. Questo tipo di ricerche infatti rappresentano una risorsa ed un punto di partenza per eseguire ed iniziare attacchi informatici basati su OSINT (La possibilità di eseguire questo tipo di ricerche può quindi essere una vera e propria risorsa ed un punto di partenza per eseguire ed iniziare attacchi informatici basati su OSINT e sull’ingegneria sociale) e sull’ingegneria sociale. Di conseguenza verificare se e quante e quali informazioni sono di fatto di dominio pubblico può consentire ad un’infrastruttura informatica di mettere in campo azioni preventive e di comprendere se esistono potenziali “falle” all’interno dell’infrastruttura, dell’organizzazione o della gestione della sicurezza e dei dati.
Un modo è iniziare a vedere ad esempio se gli indirizzi mail della propria azienda sono all’interno dei data breach più noti tramite un sito come Have I Been Pwned: Check if your email has been compromised in a data breach o se le password sono all’interno di data breach Have I Been Pwned: Pwned Passwords.
Per un controllo più approfondito è però necessario utilizzare piattaforme più strutturate che consentono la ricerca e la correlazione nei data breach ovvero un data breach search engine che permette ad esempio ricerche tramite mail, dominio, ip, username, password, numeri telefono e dati anagrafici.
Di seguito alcuni esempi di OSINT tools online che mettono a disposizione data breach search engine con possibilità di fare ricerche gratuite e a pagamento: