Ransomware: la regione Campania subisce e respinge un attacco informatico limitando i danni ad una singola postazione di lavoro e ad un server.
La segnalazione ricevuta da Red Hot Cyber
Nei giorni scorsi la redazione di Red Hot Cyber ha ricevuto una segnalazione da un whistleblower della Regione Campania. La segnalazione ripercorre e dettaglia un attacco informatico con ransomware contro i sistemi IT regionali, individuato e respinto grazie al pronto intervento dei tecnici.
Nella segnalazione ricevuta, il whistleblower spiega che il fine della comunicazione è quella di fornire informazioni sull’evento, sulle cause scatenanti e sulle attività messe in campo per sventare l’attacco. Una modalità che ribalta la pessima tradizione, tutta italiana, di negare o far cadere la totale omertà sugli attacchi informatici anziché condividere le informazioni onde evitare ad altri di cadere successivamente vittima degli stessi attacchi.
I gruppi ransomware Lockbit 3.0 e BlackCat AlphV all’attacco della regione Campania
L’attacco ha avuto inizio con il tentativo di installazione di un software dannoso su una postazione endpoint e su un server. Il software aveva lo scopo di aprire un accesso illegittimo sulle macchine. Molto probabilmente allo scopo di esfiltrare successivamente i dati e procedere alla loro criptazione.
Gli attaccanti hanno creato il software dannoso direttamene sulla postazione di lavoro. Software sconosciuto in precedenenza, visto che si parla di un tool scritto appositamente per attaccare l’infrastruttura della regione. In pratica hanno utilizzato uno strumento sconosciuto e non noto cosa che ha reso impossibile, per i sistemi di sicurezza, una individuazione preventiva.
I gruppi ransomware responsabili dell’attacco sono LockBit 3.0 Black e di BlackCat AlphV.
Per approfondire > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)
Per approfondire > Il ransomware BlackCat aggiunge una nuova funzionalità che distrugge i dati dopo averli rubati
I sistemi di monitoraggio hanno salvato la regione Campania dall’attacco ransomware
Nell’impossibilità, mancando Indicatori di Compromissione specifici, di individuare preventivamente il software dannoso, sono stati i sistemi di monitoraggio attivi sull’infrastruttura a lanciare gli alert che hanno messo in allerta i tecnici.
In particolare i sistemi di monitoraggio hanno segnalato azioni dannose eseguite in orario notturno e ciò ha determinato il pronto intervento dei tecnici del gruppo di sicurezza informatica. Il pronto intervento notturno ha consentito di isolare la postazione di lavoro e il server sotto attacco. La catena di infezione si è così arrestata.
La fase post attacco: collaborare per impedire ulteriori attacchi
La fase di analisi, aperta immediatamente dopo l’attacco, ha portato alla precisa individuazione delle macchine compromesse, successivamente isolate. La postazione di lavoro è stata portata al Data Center pe seguire le copie forensi dei dati, messe poi a disposizione delle autorità.
I tecnici hanno quindi comunicato all’Agenzia Nazionale di Cyber sicurezza Nazionale l’evento, in particolare allo CSIRT, ottemperando così agli obblighi di notifica di incidente informatico. Si è così stabilito, come in teoria previsto dalla normativa, una virtuosa collaborazione tra i tecnici regionali e lo CSIRT.
In via precauzionale, la prima misura adottata è stata quella di bloccare la rete regionale. Quindi i tecnici hanno analizzato i backup dei sistemi server verificando così che nessuna postazione di lavoro né alcun server avevano subito la criptazione dei dati. Infine hanno fornito gli indicatori di attacco e questo è un passaggio fondamentale. La condivisione di questi dati consentirà ad altri di poter individuare attacchi simili, sia nel settore pubblico che in quello privato.
Le indagini, conclude la segnalazione del whistleblower, sono ancora in corso soprattutto in relazione al vettore di attacco. Dato che il sospetto è ricaduto su allegati email / supporti removibili infetti come chiavette USB il team di sicurezza IT ha provveduto a rafforzare le misure di sicurezza informatica impedendo l’uso di supporti removibili e l’accesso a servizi di sharing non ricompresi tra quelli ufficialmente in uso presso la Regione Campania.
Per saperne di più > Il perimetro di cyber sicurezza nazionale italiano
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
- Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI. - Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità. - Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti. - Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota - Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum - Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware. - Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
- Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite! - Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet. - Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come