{"id":1525,"date":"2020-11-19T19:55:00","date_gmt":"2020-11-19T17:55:00","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=1525"},"modified":"2023-05-10T10:35:03","modified_gmt":"2023-05-10T10:35:03","slug":"attacco-ransomware","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/attacco-ransomware\/","title":{"rendered":"Sotto attacco Ransomware? Il racconto di un intervento"},"content":{"rendered":"\n<div class=\"wp-block-media-text alignwide is-stacked-on-mobile\" style=\"grid-template-columns:24% auto\"><figure class=\"wp-block-media-text__media\"><img decoding=\"async\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/11\/hbc-684x1024.png\" alt=\"\" class=\"wp-image-1611 size-full\" loading=\"lazy\" \/><\/figure><div class=\"wp-block-media-text__content\">\n<p><strong>Fortgale Incident Response<\/strong> (FIR) \u00e8 il servizio erogato da Fortgale per supportare le Aziende che subiscono un <strong>cyber-attack<\/strong>. Ma cosa significa e perch\u00e9 riteniamo sia tanto utile? <\/p>\n\n\n\n<p>Per rispondere proviamo prima ad individuare i principali obiettivi per la chiusura e gestione di un incidente informatico:  <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>ripristino <\/strong>delle funzionalit\u00e0 operative<\/li>\n\n\n\n<li><strong>eradicazione <\/strong>della minaccia da sistemi e dall&#8217; infrastruttura<\/li>\n\n\n\n<li><strong>approfondimenti<\/strong>: Cosa \u00e8 successo? In che modo? Da quanto tempo?<\/li>\n\n\n\n<li><strong>implementazioni<\/strong> di soluzioni di sicurezza per prevenire casi analoghi<\/li>\n<\/ul>\n\n\n\n<p class=\"has-text-align-justify\">Le attivit\u00e0 del servizio <strong>FIR <\/strong>ci permettono di affrontare e rispondere a questi aspetti, legati non solo a casi <strong>Ransomware<\/strong>, ma anche per le <strong>compromissioni di siti internet<\/strong> e, pi\u00f9 in generale , in caso di <strong>accessi abusivi<\/strong> a sistemi\/account (posta elettronica, server, ecc..). <\/p>\n<\/div><\/div>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<p class=\"has-text-align-justify\">In questo articolo vogliamo condividere con il lettore il resoconto di una <strong>reale attivit\u00e0 di Incident Response <\/strong>relativa ad un attacco <strong>Ransomware <\/strong>su un infrastruttura di circa <strong>2000 sistemi<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Risultati dell&#8217;attivit\u00e0<\/strong><\/h2>\n\n\n\n<p class=\"has-text-align-justify has-tablet-text-align-justify has-mobile-text-align-justify\">L&#8217;incidente informatico, nel caso specifico, si manifesta con una serie di disservizi riscontrati da alcuni utenti nel tentativo di accedere ad applicativi aziendali. Dai primi controlli dei reparti tecnici si scopre che i disservizi sono causati da un attacco Ransomware che ha cifrato i dischi dei server bloccandone le funzionalit\u00e0. Risultano essere stati <strong>impattati sia server Windows che Linux.<\/strong><\/p>\n\n\n\n<p class=\"has-text-align-justify has-tablet-text-align-justify has-mobile-text-align-justify\">I risultati delle attivit\u00e0 ci hanno permesso di ricondurre l\u2019attacco informatico ad una attivit\u00e0 nota con il termine \u201c<strong>Big Game Hunting<\/strong>\u201d (BGH), ovvero un <strong>attacco informatico mirato <\/strong>di tipo <strong>Ransomware<\/strong>. Questo tipo di attacco, in particolare crescita nel panorama internazionale, ha origine dall&#8217;iniziale compromissione delle postazioni di alcuni dipendenti dell\u2019azienda tramite attivit\u00e0 di <strong>phishing<\/strong>, per poi evolversi in un attacco informatico che coinvolge postazioni, utenti e server. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Ciclo di vita<\/h2>\n\n\n\n<p class=\"has-text-align-justify has-tablet-text-align-justify has-mobile-text-align-justify\">L&#8217;intero <strong>ciclo di vita dell&#8217;attacco <\/strong>\u00e8 stato stabilito essere di circa <strong>6 mesi<\/strong>. Dall&#8217;iniziale compromissione delle postazioni di lavoro all&#8217;effettivo avvio dell&#8217;attacco Ransomware i criminali hanno avuto accesso a sistemi critici dell&#8217;Azienda.<\/p>\n\n\n\n<p class=\"has-text-align-justify\">L&#8217;<strong>escalation dell&#8217;attacco Ransomware<\/strong> invece risulta essere concentrato in tempi pi\u00f9 ristretti, circa 14 giorni, in cui l&#8217;attaccante manomette l&#8217;intero flusso del sistema di Backup per poi avviare la cifratura dei dischi di tutti i server.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Attribuzione<\/h2>\n\n\n\n<p class=\"has-text-align-justify\">Il primo vettore d\u2019attacco utilizzato in questa tipologia di incursioni \u00e8 l\u2019utilizzo di e-mail contenente malware (<strong>trojan<\/strong>) per l&#8217;iniziale compromissione delle postazioni di lavoro, sostituito, nella seconda fase, da strumenti che offrono pi\u00f9 flessibilit\u00e0 per le operazioni offensive ( <strong>Cobalt Strike<\/strong> <strong>&#8211; Powershell &#8211; Wmic &#8211; Mimikatz <\/strong>). <br>\u00c8 stato possibile stabilire una connessione diretta con l\u2019utilizzo del <strong>trojan Gootkit<\/strong> durante le fasi iniziali, anche gli indicatori di compromissione relativi alla fase finale dell&#8217;attacco risultano essere associati all&#8217;infrastruttura offensiva utilizzata in passate campagne al malware Gootkit.<\/p>\n\n\n\n<p class=\"has-text-align-justify\">Gootkit \u00e8 un malware particolarmente attivo nel contesto italiano, uno dei gruppi criminali con cui questo operatore collabora \u00e8 conosciuto con il nome <strong>Mummy Spider<\/strong>, gruppo criminale noto per attivit\u00e0 di <strong>BGH<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/11\/MummySpider.png\" alt=\"\" class=\"wp-image-1528\" loading=\"lazy\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Gli strumenti utilizzati<\/strong><\/h2>\n\n\n\n<p class=\"has-text-align-justify\">Alcuni degli strumenti utilizzati dal gruppo criminale per la compromissione dei sistemi dell&#8217;Azienda:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cobalt Strike<\/strong>\n<ul class=\"wp-block-list\">\n<li> Utilizzato per la compromissione dei sistemi Server. Cobalt Strike \u00e8 uno strumento di penetration test, utilizzato impropriamente per l\u2019esecuzione di attacchi mirati,&nbsp; lo strumento permette inoltre di avviare attivit\u00e0 di post-exploitation. <\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Mimikatz \/ DCSync<\/strong>\n<ul class=\"wp-block-list\">\n<li> Utilizzato per effettuare dump delle credenziali dell&#8217;intero ambiente Active Directory<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Powershell \/ WMIC <\/strong>\n<ul class=\"wp-block-list\">\n<li> Utilizzati per la compromissione e interazione <\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Gootkit Malware<\/strong>\n<ul class=\"wp-block-list\">\n<li> Utilizzato per la compromissione delle postazioni dell\u2019azienda. Malware di tipo Trojan utilizzato per la compromissione dei sistemi e delle password degli utenti colpiti. <\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Netscan<\/strong>\n<ul class=\"wp-block-list\">\n<li> L\u2019attaccante ha utilizzato il file eseguibile \u201cnetscan.exe\u201d per effettuare diverse attivit\u00e0 di Network Scanning. Nello specifico posizionando l\u2019eseguibile all\u2019interno del percorso \u201cC:\\Users\\Public\\&#8230;\u201d <\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>TOR<\/strong>\n<ul class=\"wp-block-list\">\n<li>Il gruppo criminale ha utilizzato il software &#8220;The Onion Routing&#8221; (TOR) per camuffare la propria attivit\u00e0 illecita instradando il traffico all\u2019interno di reti sicure e anonime. <br><mark><strong>Il servizio TOR \u00e8 stato camuffato come servizio &#8220;Google Update&#8221;<\/strong><\/mark><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n<div class=\"wp-block-image is-style-zoooom\">\n<figure class=\"aligncenter size-large\"><img decoding=\"async\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2020\/11\/tor.png\" alt=\"\" class=\"wp-image-1529\" loading=\"lazy\" \/><figcaption class=\"wp-element-caption\"><em>Servizio Tor-relay installato<\/em><\/figcaption><\/figure>\n<\/div>\n\n<p><!--StartFragment--><\/p>\n\n\n<h3 class=\"wp-block-heading\"><strong>Soluzioni Fortgale &#8211; MDR<\/strong><\/h3>\n\n\n\n<p class=\"has-text-align-justify\">Come &#8220;Security Service Provider&#8221; <strong>Fortgale <\/strong>supporta le Aziende nella prevenzione e gestione di <strong>Cyber Attacks<\/strong>, con una serie di servizi innovativi di <strong>monitoraggio<\/strong>, <strong>rilevamento <\/strong>e <strong>risposta <\/strong>e con l&#8217;integrazione di attivit\u00e0 specialistiche di <strong>Cyber Threat intelligence<\/strong> e <strong>Threat Hunting<\/strong>. <\/p>\n\n\n\n<p><strong>Dove puoi trovarci<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Raggiungi i nostri canali social <a aria-label=\" (opens in a new tab)\" rel=\"noreferrer noopener\" href=\"https:\/\/twitter.com\/Fortgale_Cyber\" target=\"_blank\" class=\"ek-link\">Twitter<\/a>,&nbsp;<a aria-label=\" (opens in a new tab)\" rel=\"noreferrer noopener\" href=\"https:\/\/www.linkedin.com\/company\/fortgale\/\" target=\"_blank\" class=\"ek-link\">LinkedIn<\/a>, e <a aria-label=\" (opens in a new tab)\" rel=\"noreferrer noopener\" href=\"https:\/\/www.youtube.com\/channel\/UChhR-BiAwUzaBSQmppnsZXw\" target=\"_blank\" class=\"ek-link\">YouTube<\/a><\/li>\n\n\n\n<li>Visita il nostro sito internet <a href=\"https:\/\/arcticwolf.com\/\" class=\"ek-link\">fortgale.com<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>In questo articolo vogliamo condividere con il lettore il resoconto di una reale attivit\u00e0 di Incident Response relativa ad un attacco Ransomware su un infrastruttura di circa 2000 sistemi. Risultati dell&#8217;attivit\u00e0 L&#8217;incidente informatico, nel caso specifico, si manifesta con una serie di disservizi riscontrati da alcuni utenti nel tentativo di accedere ad applicativi aziendali. Dai [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1623,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[53,71,72,107,435,175,228,283,313,314,360],"class_list":["post-1525","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-bgh","tag-cobalt","tag-cobaltstrike","tag-dcsync","tag-fortgale-report","tag-hunting","tag-mimikatz","tag-ransomware","tag-sfile2","tag-sfile3","tag-tor"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/1525","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=1525"}],"version-history":[{"count":2,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/1525\/revisions"}],"predecessor-version":[{"id":5189,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/1525\/revisions\/5189"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=1525"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=1525"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=1525"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}