Incident Report – WannaMine

Pubblicato da frtg il

WannaMine Incident Response

Nel 2021 Fortgale esegue un intervento di Incident Response per la rimozione del Malware WannaMine dai sistemi di un’Azienda italiana operante nel Settore Industriale. Il Malware si è propagato su alcune centinaia di sistemi sfruttando diverse tecniche di propagazione.

WannaMine, dopo l’installazione nei sistemi, avvia operazioni di Mining di criptovalute creando numerosi disservizi ai sistemi aziendali a causa della saturazione delle risorse di Server e Workstation compromesse.

Fortgale ha coordinato le attività di Incident Response procedendo alla rimozione del Malware dall’infrastruttura.


Le operazioni principali condotte da Fortgale per la gestione del caso:

  • Analisi evidenze e prima attribuzione dell’attacco
    • Obiettivi
      • Ottenere una valutazione sui rischi
      • Stabilire modalità di compromissione dell’infrastruttura
      • TTP necessari per organizzare una risposta efficace ed efficiente
  • identificazione dei Cyber-criminali (Threat Actors) nel perimetro aziendale
    • Obiettivi
      • Identificare sistemi controllati dai criminali
      • Identificare le utenze sfruttate per Lateral Movement
      • Identificare modalità di accesso all’infrastruttura
      • Identificazione della struttura Offensiva (C2, indirizzi IP, domini)
  • Implementazione blocchi
    • Obiettivi
      • Limitare/impedire ulteriori accessi al Network
      • Ostacolare le operazioni offensive
      • Identificazione dei sistemi compromessi
  • rimozione persistenza dei criminali dal Network dell’Azienda
    • Obiettivi
      • Rimozione Malware dai sistemi
      • Riattivazione servizi IT aziendali e piena operatività
      • Chiusura dei canali di comunicazione (C2) utilizzati dai criminali


Le attività specialistiche hanno permesso il totale ripristino dello stato di sicurezza dell’infrastruttura in tempi brevi impedendo ulteriori accessi dei criminali al Network aziendale.
Durante l’attività è stata osservata la presenza di altre compromissioni Malware, segno della presenza di più gruppi criminali all’interno della rete.

Il Worm WannaMine, a differenza delle altre compromissioni, si è propagato all’interno della rete aziendale sfruttando differenti tecniche: credenziali valide (Mimikatz e moduli Empire) e vulnerabilità (EternalBlue CVE-2017-0144).
Considerate le dimensioni della compromissione e le capacità di propagazione del Worm, Fortgale ha eseguito un’attività di Incident Response su diverse centinaia di sistemi (Workstation e Server) tramite l’utilizzo di script Python ed API di strumenti in Cloud per la rimozione definitiva del Malware da tutti i sistemi dell’Azienda.
Nello specifico, gli analisti Fortgale hanno rimosso i seguenti oggetti WMI non associati ad allarmi di sicurezza ma utilizzati dal malware per mantenere la persistenza:

Come difendersi? Fortgale MDR!

Per questo genere di manovre offensive è necessario mettere in campo competenze specialistiche in ambito difensivo e offensivo.
Fortgale svolge attività di Cyber Defence proteggendo Aziende di diversi settori e fatturati eseguendo attività di:

  • Security Monitoring
  • Malware Analysis
  • Threat Hunting
  • Incident Response