Andrea Saturnino, ICT Security Specialist di Sababa Security, ha commentato l’attacco ransomware rivolto a Rovagnati, produttore italiano di salumi. Il gruppo ransomware Lockbit ha rivendicato l’attacco e pubblicato il sample.
“Rovagnati, azienda italiana nota per la produzione di salumi di alta qualità, è stata colpita nei giorni scorsi da un attacco ransomware. L’attacco è stato rivendicato dal gruppo russo Lockbit, già famoso per aver attaccato diversi comuni italiani e la rete di Regione Sardegna. Questo gruppo criminale è famoso per sfruttare vulnerabilità senza patch di server esposti su internet o per l’utilizzo di sistemi VPN poco protetti e password compromesse. Un altro sistema utilizzato per l’accesso alla rete aziendale, che in realtà è anche quello più utilizzato in generale da questi gruppi malevoli, è quello delle mail di phishing, in cui si invia una mail contenente un link o un file malevolo che una volta aperti permettono all’attaccante di accedere alla rete.
Una volta guadagnato l’accesso, Lockbit è solito fare Lateral Movement, cioè accedere ad altre macchine aziendali, e utilizzare dei tool come PsExec, che permette di eseguire script malevoli da remoto, e Mimikatz, il quale permette di scaricare i dati presenti nella memoria RAM del computer. All’interno della memoria RAM del computer è possibile che siano presenti anche credenziali di utenti privilegiati nel caso le sessioni effettuate non siano state terminate correttamente.
Guadagnate le credenziali di un’utente amministrativo è quindi possibile effettuare un’escalation dei privilegi che, saltando da un account privilegiato all’altro, porta Lockbit ad avere un controllo completo sul dominio aziendale e sulla totalità delle macchine aziendali. Il controllo sul dominio aziendale garantisce al gruppo di poter creare domain admin a proprio piacimento e di poter effettuare la fase successiva di esfiltrazione dati. Per questo step Lockbit è solito utilizzare tool come FreeFileSync o FileZilla per trasferire i dati dalla rete aziendale bucata verso i loro server.
Infine, una volta esfiltrati i dati aziendali, viene eseguito il ransomware Lockbit 3.0 che, diffondendosi autonomamente all’interno della rete, cripta tutti i dati presenti sulle macchine rendendoli inutilizzabili.
Per quanto gli attaccanti abbiano utilizzato il ransomware Lockbit 3.0 per effettuare la cifratura dei dati aziendali, c’è la possibilità che l’attacco sia stato effettuato da un altro gruppo criminale che abbia affittato il ransomware, poiché Lockbit funziona come un’azienda legittima. Infatti, oltre ad effettuare attacchi informatici per proprio conto, il gruppo permette di noleggiare la propria “soluzione” tramite un cosiddetto sistema Ransomware-as-a-Service (R-a-a-S), tramite cui, un gruppo con poche risorse finanziarie o non in grado di sviluppare internamente un proprio ransomware, noleggia quello di un gruppo più grande per effettuare gli attacchi. Grazie a questo servizio Lockbit ha la possibilità di guadagnare parte del riscatto richiesto all’azienda attacca o una parte della vendita dei dati”.
L’attacco di Lockbit è caratterizzato da diverse fasi di attacco che senza un adeguato sistema di protezione lo rendono difficile da rilevare.
Le azioni suggerite da Sababa Security per mitigare il rischio di subire questa tipologia di attacchi sono:
- Realizzare campagne di awareness per educare gli utenti al riconoscimento delle mail di phishing.
- Utilizzare un sistema MDR centralizzato che permetta di rilevare infezioni sulla macchina o tentativi di accesso illeciti.
- Utilizzare un Firewall intelligente che permetta di filtrare il traffico in arrivo da nazioni al di fuori del business aziendale.
- Utilizzare un sistema DNS per bloccare le query malevole.
- Applicazione delle patch di sicurezza, soprattutto sulle macchine esposte su internet.
- Implementazione di una rotazione delle credenziali.
- Implementazione di un sistema di backup.