Il team di risposta alle minacce gestito da Sophos si è scontrato con il ransomware REvil. Un caso specifico mostra come hanno lavorato i cybercriminali, come il team Managed Threat Response (MTR) ha finalmente preso il sopravvento e quali lezioni le aziende dovrebbero imparare dall'incidente.
Come molte altre famiglie di ransomware, i criminali informatici utilizzano REvil ransomware per rubare e crittografare i dati per poi richiedere il riscatto più alto possibile. Tuttavia, ciò che rende speciale REvil è il modo in cui il ransomware viene reso disponibile. Come se fosse una normale attività, i produttori offrono il loro "prodotto" come un servizio che puoi persino affittare: questo ti dà una buona indicazione che l'attività dei criminali informatici vale milioni.
Attacco REvil: $ 2 milioni di riscatto
L'esempio attuale di una società di media a cui i ricattatori hanno chiesto un riscatto di oltre due milioni mostra come funziona l'attacco e come si possono contrastare efficacemente i criminali. Con circa 600 dispositivi in rete, inclusi 25 server e tre domini Active Directory per il funzionamento 24 ore su 7, 19 giorni su XNUMX, questa azienda è stata anche costretta a spostare gran parte del suo lavoro quotidiano in uffici remoti dopo l'ondata di COVID-XNUMX. Le postazioni di lavoro esterne sono state collegate alla rete e la connessione Internet è stata adattata: tutte azioni ben intenzionate in termini di requisiti necessari. Ma ha aperto la porta all'attacco REvil.
Dopo essere penetrati nella rete, i criminali si sono diretti verso i dispositivi non protetti e altri sistemi online, hanno installato i loro strumenti di attacco e li hanno utilizzati per estendere l'attacco a più dispositivi.
Forza di risposta rapida
Quando il Sophos Rapid Response Team è stato chiamato a condurre un'indagine approfondita sulla scena del crimine, è apparso subito chiaro che gli aggressori di REvil avevano già compromesso un certo numero di account e si stavano muovendo liberamente tra computer non protetti. Uno sguardo più attento alle applicazioni ha mostrato che 130 endpoint erano dotati del software Screen Connect 130, che viene spesso utilizzato come strumento di collaborazione per gli uffici remoti. In effetti, la società non era a conoscenza di queste installazioni, suggerendo che gli aggressori abbiano installato questo strumento insieme a vari altri programmi per i loro scopi criminali.
Scambio diretto di colpi
Quando gli aggressori hanno iniziato a scavare più a fondo nella rete, sapevano che probabilmente sarebbero stati rilevati e bloccati e che il team MTR li stava cercando. Sapevano che venivano utilizzati strumenti di rilevamento basati sul comportamento per rintracciarli e che CryptoGuard avrebbe rilevato e bloccato la crittografia. Gli aggressori hanno quindi cercato di penetrare in altri endpoint non protetti per eseguire lì il ransomware.
Lo scambio diretto di colpi tra il team MTR e l'attaccante è stato più intenso e complesso del solito, in quanto la media company ha dovuto mantenere online la maggior parte dei server per mantenere sistemi e trasmissioni 24 ore su 7, XNUMX giorni su XNUMX. Alla fine la corsa iniziò a placarsi. Il secondo giorno, mentre venivano ancora individuati sporadici attacchi in arrivo, era chiaro che il tentativo di attacco principale era terminato ed era fallito. Il vincitore di questa battaglia era chiaro: il team MTR.
Bilancio e approfondimenti
Poteva andare decisamente peggio. Il team di sicurezza IT ha scoperto che il danno era per lo più limitato ai dispositivi e ai domini non protetti. Il dominio online precedentemente protetto da un air gap (opzione di sicurezza della rete) è stato completamente distrutto e ha dovuto essere ricostruito, e anche i backup online sono stati cancellati.La buona notizia: sebbene gli aggressori siano riusciti a entrare nella rete, l'azienda non è stata completamente paralizzato e non ha nemmeno dovuto pagare un riscatto esorbitante.
“Nella maggior parte dei casi, l'attacco è già in atto quando veniamo chiamati. Possiamo quindi contribuire a contenere, neutralizzare e indagare sulle conseguenze", afferma Peter Mackenzie, Sophos Rapid Response Manager. “In questo caso ci è stata richiesta assistenza e siamo stati presenti mentre si svolgeva la fase finale dell'attacco e abbiamo potuto constatare sia l'iniziale determinazione degli aggressori sia la crescente frustrazione poi. E hanno usato tutte le armi disponibili contro di noi, sparando da tutte le direzioni possibili".
Due risultati particolarmente importanti
Il primo riguarda la gestione del rischio. Quando un'azienda apporta modifiche a un ambiente, ad esempio spostando una rete da air-gapped a online, come nel caso di questa azienda, il rischio cambia. Sorgono nuove vulnerabilità che devono essere identificate ed eliminate dai team di sicurezza IT.
La seconda constatazione riguarda la protezione dei dati. Il primo account compromesso in questo attacco apparteneva a un membro del team IT. Tutti i dati erano stati cancellati. Ciò significa che informazioni preziose come B. I dettagli dell'irruzione originale che avrebbero potuto essere utilizzati per analisi e indagini forensi sono andati perduti. Più informazioni rimangono intatte, più è facile capire cosa è successo e assicurarsi che non possa accadere di nuovo.
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.