Pascal Bornet (uno dei guru dell’Intelligent Automation e coautore del libro “Intelligent Automation – welcome to the world of Hyperautomation”) […]
Cosa succede quando subisci un attacco informatico. E come ci si mette al riparo.
Lo hanno definito il più grande attacco ransomware della storia quello partito dall’infezione del servizio Kaseya.
È sabato pomeriggio quando il cliente ci chiama. Una richiesta di supporto in reperibilità. Lavoriamo la sera e la domenica mattina su un’infezione da virus che al momento della notifica non è stata classificata. Già le prime evidenze portano alla scoperta di numerosi file compromessi.
Metodologia NIST
Organizziamo l’attività – da remoto e onsite – con l’obiettivo di identificare, contenere ed eradicare la minaccia con lo schema NIST Incident Response, concentrandosi sulle fasi di Detection & Analysis e Containment & Eradication.
Il cliente non era sotto monitoraggio del SOC di BlueIT e quindi abbiamo preso in carico il problema dal momento della richiesta di supporto.
Non avendo evidenze tecniche relative alla raccolta e la correlazione degli eventi di log, si è proceduto senza l’ausilio degli strumenti SIEM IBM QRadar e IBM Advisory with Watson.
Detection & Analysis
I primi tentativi di identificazione sono avvenuti tramite l’esplorazione dei contenuti presenti nelle aree condivise sul fileserver aziendale. Abbiamo intanto rilevato la presenza di attività malevola con richiesta di compenso in criptovalute e numerosi file criptati. Confrontando le informazioni raccolte da fonti autorevoli abbiamo confermato che si trattava di attività malevola riconducibile al ransomware veicolato tramite il servizio Kaseya.
La cyber community REVil (gruppo di cybercriminali russi) si è presa il merito e la responsabilità dell’attacco.
Containment
Durante le ore di presenza on-site abbiamo effettuato ulteriori scansioni dei sistemi compromessi, utilizzando strumenti di rilevazione ransomware come Anti-Threat Toolkit (ATTK) di Trend Micro e Malwarebyte. Questi ovviamente non hanno provveduto a contenere o meglio bloccare l’attività della minaccia, ma solo a fornire l’evidenza dei file già compromessi.
In sinergia con il supporto sistemistico è stato esaminato il sistema con ruolo di fileserver, che visto la crescita continua di files compromessi era vittima dell’attacco.
L’analisi si è concentrata sull’esame della componente server che offre il servizio di condivisione dei file (smb) tramite la rete: qui abbiamo notato la numerosità sospetta di di connessioni provenienti dai server ospitati nelle sedi estere del cliente.
A integrazione, anche il monitoraggio network ha portato in evidenza il traffico sospettato come malevolo proveniente dalle sedi estere.
Attraverso l’utilizzo della piattaforma Cisco Meraki è stato possibile isolare i sistemi nelle sedi estere e attraverso il monitoraggio dei files compromessi non abbiamo più avuto evidenza di nuove attività relative a nuovi files criptati.
Eradication
L’attività di eradicazione è iniziata e si è conclusa il giorno seguente.
È stato ritenuto conservativo mantenere l’isolamento dei sistemi nelle sedi estere alle connessioni di rete verso i sistemi della sede italiana. Per poter avere l’accesso ai sistemi compromessi è stata attivata una strategia di accesso dalla rete pubblica (port forwarding) con accesso esclusivo solo da indirizzi pubblici in uso dagli specialisti di sicurezza di BlueIT. La strategia è stata configurata con successo sulla piattaforma Cisco Meraki.
Sul server installato presso la sede estera è stata rilevata la presenza del software utilizzato per esecuzione dell’attività malevola (Kaseya VSA) ed è stata eseguita la disinstallazione.
Al termine della disinstallazione l’endpoint security agent di Trend Micro ha confermato la pulizia del ransomware.
Vuoi saperne di più?
BlueIT propone un Secure Journey, un percorso per mettere le azienda in sicurezza e a minor rischio di attacchi cyber.
Scarica la presentazione del servizio.