Le attività di Incident Response svolte dal nostro Team nell’ultimo periodo confermano il trend crescente del numero di attacchi informatici nei confronti delle aziende italiane. Quello che dovrebbe far riflettere (oltre i numeri e i danni arrecati) è l’evoluzione tecnica e l’incremento della complessità di questi ultimi.
Notiamo infatti una maggiore interazione dell’attaccante durante le fasi di compromissione dei sistemi aziendali. Il Ransomware e la conseguente cifratura dei dati rappresenta solo l’ultimo dei passi eseguiti dai criminali all’interno dell’azienda colpita. Oggi si parla infatti di “Human-operated ransomware” e di “Big Game Hunting“.
Questo genere di attacchi informatici hanno spesso inizio con la compromissione di una postazione di un dipendente (tramite E-mail) e l’utilizzo di Trojan e Spyware.
In altri casi il primo sistema ad essere colpito è un server perimetrale tramite lo sfruttamento di vulnerabilità (spesso RDP e SMB).
Dalla Postazione ai Server
La compromissione della postazione di un dipendente non deve essere sottovalutata. Con sempre più frequenza i Threat Actors si muovono dalla postazione del dipendente al resto dell’infrastruttura e dei sistemi. L’obiettivo dei criminali è rappresentato dalla compromissione dei server interni della rete aziendale (tipicamente i Domain Controller, Web Server e Mail Server), obiettivo raggiunto per mezzo di attività di Lateral Movement e Privilege Escalation.
Il movimento laterale consiste nella serie di passaggi eseguiti dall’attaccante per accedere ad altri sistemi nella stessa rete informatica.
Sareste in grado di identificare comportamenti e strumenti di questo tipo?
Alcuni strumenti offensivi spesso utilizzati dai criminali (e dai Penetration Tester):
- Compromissione iniziale e strumenti di Post-Exploitation:
- Meterpreter
- Powershell Empire
- Covenant
- Lateral Movement (ID: TA0008):
- WMI
- Powershell
- PsExec
- Tunnel SMB
- Credential Dumping (ID: T1003):
- Mimikatz
- Lazagne
- Dump lsass
Come difendersi?
Attività di Cyber Defence
A questo genere di manovre offensive è indispensabile “rispondere” con attività specialistiche difensive.
Esistono strumenti per la difesa dei sistemi che permettono, oltre alla protezione automatica, agli analisti specializzati di effettuare attività di rilevazione, analisi e risposta all’incidente informatico.
Svolgere attività di Cyber Defence significa proteggere e difendere l’infrastruttura a 360°, eseguendo attività di:
- Security Monitoring
- Malware Analysis
- Threat Hunting
- Incident Response
Per maggiori dettagli: 👉CONTATTI
Alcuni dei casi più eclatanti degli ultimi anni:
According to a statement issued by the company, the total cost for dealing with the outbreak will land somewhere in the $200 to $300 million range. NotPetya-related costs contributed to a $264 million quarterly loss despite revenues rising from $8.7 billion to $9.6 billion year-over-year.
