Storie di Data Breach

Pubblicato da frtg il

Le attività di Incident Response svolte dal nostro Team nell’ultimo periodo confermano il trend crescente del numero di attacchi informatici nei confronti delle aziende italiane. Quello che dovrebbe far riflettere (oltre i numeri e i danni arrecati) è l’evoluzione tecnica e l’incremento della complessità di questi ultimi.

Notiamo infatti una maggiore interazione dell’attaccante durante le fasi di compromissione dei sistemi aziendali. Il Ransomware e la conseguente cifratura dei dati rappresenta solo l’ultimo dei passi eseguiti dai criminali all’interno dell’azienda colpita. Oggi si parla infatti di “Human-operated ransomware” e di “Big Game Hunting“. 

Questo genere di attacchi informatici hanno spesso inizio con la compromissione di una postazione di un dipendente (tramite E-mail) e l’utilizzo di Trojan e Spyware.

In altri casi il primo sistema ad essere colpito è un server perimetrale tramite lo sfruttamento di vulnerabilità (spesso RDP e SMB).

Dalla Postazione ai Server

La compromissione della postazione di un dipendente non deve essere sottovalutata.  Con sempre più frequenza i Threat Actors si muovono dalla postazione del dipendente al resto dell’infrastruttura e dei sistemi. L’obiettivo dei criminali è rappresentato dalla compromissione dei server interni della rete aziendale (tipicamente i Domain Controller, Web Server e Mail Server), obiettivo raggiunto per mezzo di attività di Lateral Movement e Privilege Escalation.

Il movimento laterale consiste nella serie di passaggi eseguiti dall’attaccante per accedere ad altri sistemi nella stessa rete informatica.

Sareste in grado di identificare comportamenti e strumenti di questo tipo?


Alcuni strumenti offensivi spesso utilizzati dai criminali (e dai Penetration Tester):

  • Compromissione iniziale e strumenti di Post-Exploitation:
    • Meterpreter
    • Powershell Empire
    • Covenant
  • Lateral Movement (ID: TA0008):
    • WMI
    • Powershell
    • PsExec
    • Tunnel SMB
  • Credential Dumping (ID: T1003):
    • Mimikatz
    • Lazagne
    • Dump lsass
Escalation e compromissione di server dell’infrastruttura

Come difendersi?
Attività di Cyber Defence

A questo genere di manovre offensive è indispensabile “rispondere” con attività specialistiche difensive.
Esistono strumenti per la difesa dei sistemi che permettono, oltre alla protezione automatica, agli analisti specializzati di effettuare attività di rilevazione, analisi e risposta all’incidente informatico.

Svolgere attività di Cyber Defence significa proteggere e difendere l’infrastruttura a 360°, eseguendo attività di:

  • Security Monitoring
  • Malware Analysis
  • Threat Hunting
  • Incident Response

Per maggiori dettagli: 👉CONTATTI

Alcuni dei casi più eclatanti degli ultimi anni:

According to a statement issued by the company, the total cost for dealing with the outbreak will land somewhere in the $200 to $300 million range. NotPetya-related costs contributed to a $264 million quarterly loss despite revenues rising from $8.7 billion to $9.6 billion year-over-year.