Deve suonare come campanello d’allarme per tutti il modo in cui la criminalità organizzata è riuscita a bloccare i registri scolastici del 40% delle scuole, per una settimana, sfruttando una vulnerabilità dell’azienda fornitrice del servizio, Axios.
Si tratta com’è ormai noto di un attacco ransomware, che ha bloccato i registri.
Com’è potuto succedere l’attacco ransomware ai registri
Sempre più spesso questi attacchi si verificano in momenti funzionali a cogliere impreparate le aziende, ad esempio al venerdì sera – a ridosso del weekend e in orari extralavorativi – per sfruttare una maggiore finestra temporale prima che vengano prese contromisure.
Come prevenire questo genere di attacchi e agire tempestivamente? La rapidità nella risposta è un fattore cruciale: non solo consente di mantenere la continuità del servizio, ma anche di evitare che altri gruppi di cybercrime approfittino della vulnerabilità.
Registro elettronico hackerato, è un ransomware: i consigli per professori e studenti
Ripercorriamo anzitutto la modalità con cui Axios ha gestito la criticità del proprio sistema mettendolo a confronto con il metodo in cui un ransomware sfrutta le vulnerabilità per identificare così 4 consigli che ogni azienda può adottare per prevenire attacchi di questo genere.
Il 3 aprile alle 11:00, Axios ha pubblicato un primo comunicato sul proprio sito: “A seguito di un improvviso malfunzionamento tecnico occorso durante la notte, si è reso necessario un intervento di manutenzione straordinaria.”
Il portale risultava quindi offline da diverse ore come era già accaduto durante altre precedenti occasioni.
Nelle ore e giorni successivi sono stati forniti ulteriori dettagli relativo all’accaduto e nella serata del 5 aprile Axios pubblica il seguente comunicato: “A seguito delle approfondite verifiche tecniche messe in atto da sabato mattina in parallelo con le attività di ripristino dei servizi, abbiamo avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza di un attacco ransomware portato alla nostra infrastruttura”.
A distanza di una settimana il servizio è tornato attivo provocando un grosso mal di testa per la società che eroga il servizio.
L’ultima comunicazione da parte della società riporta che: “Non risultano presenti rischi per i diritti e le libertà delle persone fisiche”, Axios ha infatti specificato che “i dati personali gestiti non sono stati persi o distrutti e non vi è stata alcuna visione o estrapolazione indebita.” Sarà così?
L’anatomia dell’attacco ransomware
Un piano di risposta concordato e strutturato è fondamentale in un’organizzazione, perché permette di intervenire in caso di attacco. Ma per definire un piano di azione, bisogna fare un passo indietro ed analizzare l’anatomia dell’attacco. Anche se non si hanno dettagli sicuri sul malware che ha colpito Axios (né come è entrato nei sistemi, anche se di solito lo fa via phishing, via desktop remoto aperto o 0 Day, su utenti dotati di privilegi admin, Ndr.), possiamo analizzare un comune attacco ransomware.
Il momento più eclatante, in cui il ransomware “chiede il riscatto”, è soltanto lo step finale di una catena di azioni che sono state eseguite precedentemente. Se si manifesta questa fase, possiamo affermare con certezza che le difese non hanno avuto effetto e nessuna attività di detect dei sintomi e comportamenti anomali durante le fasi precedenti hanno permesso di bloccare il completamento del processo.
Se ripercorriamo tutti gli step, possiamo notare che le prime tre azioni compiute all’interno dell’attacco hanno come obiettivo quello di ottenere privilegi sfruttando una vulnerabilità.
Queste tre fasi di identificazione e sfruttamento della vulnerabilità portano al nocciolo dell’attività: il deploy del malware, da cui inizia la Data Exfiltration (che ricordiamo, sembra non aver coinvolto Axios) e che si conclude con la crittografia dei dati sorgenti e la richiesta del riscatto. Il tempo totale di questo processo impiega mediamente 6 settimane, ma in molti casi raggiunge anche i tre mesi.
Dal momento iniziale, fino a quello finale (la famosa schermata con la richiesta in cryptovaluta), il comune denominatore da un punto di vista di comportamento della macchina è l’anomalia.
Spieghiamo meglio: come SOC, parte della nostra attività consiste nel monitoraggio continuo, sia del perimetro pubblico, che di quello aziendale.
Questo costante monitoraggio ci permette di identificare eventuali anomalie nel comportamento dei dispositivi in rete, e quindi analizzarle.
L’analisi dell’anomalia è fondamentale per intercettare una minaccia. Per utilizzare un sillogismo, tutti gli attacchi comportano un’anomalia, ma non tutte le anomalie rappresentano una minaccia.
Questa attività è necessariamente eseguita da tecnologie e tool avanzati, che devono essere gestiti, controllati e arricchiti da team competenti (interni o esterni all’azienda) e con una particolare attenzione alla copertura oraria: Axios, ad esempio, ha dichiarato che il “malfunzionamento tecnico” è occorso durante la notte tra venerdì e sabato.
Quattro lezioni dal caso Axios e blocco registri elettronici
Qualche lezione possiamo trarla dalla vicenda.
Strutturare un processo di Incident Response ad hoc per attivare una risposta tempestiva ed efficace nel caso in cui l’attacco vada a buon fine
Il governo delle difese aziendali deve passare anche dalla gestione dell’incidente e dei piani di emergenza in caso di attacchi gravi, che deve prevedere un intervento in modalità 24×7. Come vediamo, molti degli attacchi recenti avvengono di venerdì sera.
L’impatto dell’attacco informatico è direttamente proporzionale al tempo di risposta messo in campo.
Organizzare la difesa intorno al concetto di Data Loss Prevention
Nel caso particolare di Axios è stato dichiarato che i dati presenti sui loro sistemi (tra cui i dati personali nostri e dei nostri figli) non risultano essere stati “rubati”, ma non esiste certezza durante questi attacchi che non ci sia stato tale furto. Un piano efficace deve prevedere questi passaggi: definire il dominio principale di protezione e identificare i tipi di dato che vengono scambiati e dove vengono memorizzati; Verificare di avere un piano di backup completo che tenga conto delle effettive esigenze con effettuando test di restore a intervalli regolari; rivedere, se presenti, i piani di business continuity, disaster recovery e le procedure per eventuali data breach.
Non sottovalutare le vulnerabilità
Gli strumenti sopra citati evidenziano comportamenti anomali e con una buona strategia di difesa si può garantire una protezione del dato a diversi livelli. Tuttavia sarebbe utopistico affermare che i sistemi possano essere considerati sicuri. Il concetto di vulnerabilità e soprattutto di vulnerabilità 0-day è per sua natura in contrapposizione, ma avere politiche di patching dei software presenti in azienda può ridurre di molto il rischio di sfruttare vulnerabilità, che come visto, sono spesso i punti d’ingresso degli attaccanti.
Awareness sui dipendenti
Lavorare sulla consapevolezza degli utenti con corsi di formazione ricorsivi e su tematiche quali l’ingegneria sociale, il phishing, l’uso consapevole delle piattaforme e la gestione delle password, solo per citarne alcune, contribuisce a creare una cultura della sicurezza in azienda e quindi innalzare scudi difensivi.
