Rapporto in tempo reale sull'attacco ransomware Conti

8. Marzo 2021
| Non ci sono commenti
Conti ransomware nel live report

Condividi post

Cinque giorni di contatto ravvicinato con il ransomware Conti: in tre rapporti, Sophos descrive in dettaglio il processo di un vero attacco ransomware Conti e come è stato bloccato. Sono inclusi anche: comportamento di attacco, background tecnico e consigli pratici per gli amministratori IT.

Gli attacchi ransomware Conti, che dalla metà dello scorso anno sono diventati sempre più dannosi, sono un esempio impressionante di come i criminali informatici utilizzino la tecnologia moderna e sofisticata per pianificare il loro attacco in modo mirato e quindi migliorare notevolmente le loro possibilità di penetrare con successo nelle reti aziendali. In tre report dettagliati, il team di Sophos Rapid Response descrive un attacco reale e come si è svolto nell'arco di cinque giorni: "Si è trattato di un attacco molto rapido e potenzialmente devastante", afferma Peter Mackenzie, manager di Sophos Rapid Response. “Durante la nostra indagine forense, abbiamo visto che gli aggressori hanno sfruttato le vulnerabilità del firewall per compromettere la rete e ottenere l'accesso ai dati di amministrazione del dominio in soli 16 minuti. Successivamente, gli aggressori hanno distribuito Cobalt Strike Agents sui server che avrebbero costituito la spina dorsale dell'attacco ransomware".

Cyber ​​attacker live alla tastiera

La particolarità di questo attacco era che i criminali informatici lo controllavano da soli e non lasciavano tutto a una routine automatizzata. Con questi attacchi controllati dall'uomo, gli aggressori possono adattarsi e reagire alle mutevoli situazioni in tempo reale. Con tale flessibilità, questi attacchi hanno maggiori possibilità di successo e le vittime non si sentono rassicurate solo perché un primo tentativo di attacco è stato rilevato e contrastato. Perché poi accade ciò che è descritto nel seguente diario di un vero attacco ransomware Conti - fortunatamente in questo caso con un lieto fine.

attacco giorno 1

Gli aggressori penetrano nel firewall e hanno bisogno di soli 16 minuti per dirottare l'account amministratore su due dei server della vittima. Quindi distribuiscono un Cobalt Strike Agent sul primo server fino a quando questo attacco non viene individuato e fermato dalla vittima. Solo 15 minuti dopo, gli attaccanti ripetono la loro azione sul secondo server e questo attacco passa inosservato. Una volta messo piede nella porta, gli aggressori "si intrufolano" nella rete aziendale della vittima e infettano un terzo server.

attacco giorno 2

Nessuna attività di attacco viene notata dalla vittima.

attacco giorno 3

Gli aggressori cercano per circa dieci ore cartelle di file con informazioni potenzialmente interessanti e le estraggono utilizzando il legittimo strumento di gestione open source RClone, che è stato installato inosservato sul terzo server dirottato. Tra le altre cose, i dati dei reparti finanza, risorse umane e IT sono interessati.

attacco giorno 4

Utilizzando ciò che hanno appreso sulla struttura dell'endpoint e del server dal primo giorno, gli aggressori installano prima un agente Cobalt Strike su un quarto server per testare il ransomware. Dopo il messaggio di successo, installano Cobalt Strike su quasi 1 dispositivi e dopo altri 300 minuti lanciano il ransomware Conti. Gli endpoint compromessi caricano il codice da diversi indirizzi di comando e controllo e lo eseguono. La cosa perfida al riguardo: nessun dato viene scritto sui dischi rigidi, ma il ransomware viene eseguito direttamente nella memoria principale per evitare il rilevamento. Il ransomware tenta quindi di crittografare i dati per tre ore, ma viene bloccato sui computer protetti con Sophos Intercept X nonostante le tattiche di offuscamento. L'azienda attaccata interrompe la connessione Internet ad eccezione dell'applicazione Sophos, arresta l'infrastruttura critica e interrompe i processi di lavoro. Il team di Sophos Rapid Response viene chiamato, identifica gli endpoint ei server infetti, interrompe i vari processi di attacco e inizia a ripristinare le aree compromesse.

giorno di attacco 5

L'indagine finale della Task Force di risposta rapida identifica una seconda potenziale esfiltrazione di dati, un secondo account compromesso e traffico RDP (Remote Desktop Protocol) sospetto attraverso il firewall vulnerabile. Allo stesso tempo, la vittima ripristina gli endpoint non protetti e avvia l'infrastruttura critica.

La morale della storia

Spesso sono gli amministratori IT a trovarsi sulla linea diretta di un attacco ransomware. Sono quelli che vengono al lavoro la mattina e trovano tutto cifrato con una richiesta di riscatto. Sulla base dell'esperienza del suo team di risposta rapida, Sophos ha sviluppato un elenco di azioni per affrontare al meglio le prime ore e giorni difficili dopo un attacco ransomware.

  • Disattiva il protocollo RDP (Remote Desktop Protocol) su Internet per impedire ai criminali informatici di accedere alle reti.
  • Se l'accesso a RDP è assolutamente necessario, dovrebbe essere protetto tramite una connessione VPN.
  • Le misure di sicurezza a più livelli, comprese le funzioni di rilevamento e risposta degli endpoint (EDR) e i team di risposta gestiti per il monitoraggio 24 ore su 7, XNUMX giorni su XNUMX delle reti, prevengono gli attacchi e svolgono un ruolo chiave nella protezione e nel rilevamento degli attacchi informatici.
  • Monitoraggio costante degli indicatori anticipatori noti che spesso precedono gli attacchi ransomware.
  • Creazione di un piano di risposta agli incidenti, che dovrebbe essere continuamente aggiornato con i cambiamenti nell'infrastruttura IT e nell'azienda.
  • Esperti esterni con molta esperienza possono offrire un'assistenza eccellente.

Tre segnalazioni di ransomware Conti da Sophos

Nei tre report Sophos, l'attacco ransomware Conti è descritto da diverse prospettive e vengono fornite istruzioni concrete per l'azione in caso di attacco. I report in lingua inglese possono essere scaricati dai seguenti link:

Tempistica di un attacco ransomware Conti:

Un attacco ransomware Conti giorno per giorno

Briefing tecnico dei SophosLabs sulla natura evasiva del ransomware Conti:

Conti Ransomware: evasivo per natura

Istruzioni che includono un elenco di controllo in 12 punti per gli amministratori IT per gestire un attacco:

Cosa aspettarsi quando sei stato colpito da Conti Ransomware

Ulteriori informazioni su Sophos.com

 

A proposito di Sophos

Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Sicurezza informatica: base per LockBit 4.0 disinnescata

Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Sophos, racconti
, , , ,