Che il mondo dei ransomware stia cambiando è ormai un'evidenza da mesi: dal furto e pubblicazione dei dati delle vittime che non pagano il riscatto allo spostamento dell'obiettivo sulle aziende ed enti pubblici più che sugli utenti home, passando per l'ondata di attacchi mirati che ormai prosegue incessante negli Stati Uniti, i cambiamenti sono molti e i cyber attaccanti dimostrano di "sapere stare al passo coi tempi".
Il backup resta però il vero ostacolo degli sviluppatori di ransomware. Questa è indubbiamente la difesa più efficace, ma se non è correttamente configurato questo strumento può diventare un vero e proprio boomerang. E' quanto dimostra il ransomware DoppelPaymer, il cui autore, appena qualche giorno fa, ha pubblicato sul proprio sito allestito appositamente per il leak dei dati delle vittime non paganti, username e password del software di backup di una vittima che ha deciso di non cedere al ricatto.
Fonte: https://www.bleepingcomputer.com/
In questo caso, spiega Lawrance Abrams di Bleepingcomputer, queste informazioni non sono state diffuse ad altri per suggerire attacchi ulteriori, quanto per mettere in guardia la vittima rispetto al fatto che il ransomware è riuscito a fornire al proprio operatore l'accesso completo alla rete, compreso quello al backup.
Abrams ha contattato l'operatore del ransomware DoppelPaymer (che poi è lo stesso del famigerato ransomware Maze) per capire come fosse riuscito a colpire il backup della vittima. La ricostruzione si basa sul software di backup Veeam, molto diffuso negli Stati Uniti per i backup aziendali, ma potrebbe valere per qualsiasi soluzione di backup.
Come è avvenuto l'attacco
Nel corso dell'attacco, l'operatore di DoppelPaymer ha compromesso un host: ovviamente non ha specificato se tramite phishing, malware o attaccando servizi di desktop remoto esposti. Una volta ottenuto l'accesso alla macchina, ha proceduto alla diffusione laterale lungo la rete, fino ad ottenere l'accesso alle credenziali di amministrazione e al domain controller. Usando poi tool come Mimikats, ha proceduto al dump delle credenziali dall'active directory.
Abrams conferma che questo è più che sufficiente per avere accesso al software di backup dato che alcuni configurano Veeam per usare l'autenticazione Windows. Se l'account di backup in cloud è così configurato, l'attaccante può ottenere l'accesso al backup in cloud. L'operatore di DoppelPaymer non ha specificato come ha ottenuto le credenziali del backup, ma è evidente che è riuscito a farlo. I mezzi possibili sono molti: keylogger, attacchi di phishing, lettura della documentazione salvata localmente sul server di backup ecc...
Fonte: https://www.bleepingcomputer.com/
A questo punto l'attaccante ha usato le credenziali dello storage in coud per ripristinare i dati della vittima in un server sotto il controllo degli attaccanti. La vittima non ha ricevuto quindi nessun avviso, dato che i server sembravano funzionare normalmente. Indipendentemente dall'uso che potrà fare l'attaccante dei dati ottenuti tramite il backup in cloud, è certo che prima di criptare tutti i dispositivi collegati alla rete, ha provveduto alla cancellazione dei backup impedendo così il ripristino dei dati.
"I backup in cloud sono un'ottima soluzione contro i ransomware, ma non proteggono al 100%. Questo perchè molto spesso i backup non sono ben configurati, i backup offline sono spesso obsoleti e il fattore umano lascia aperte molte strade": queste sono le parole testuali dell'attaccante, inviate via email ad Abrams.
Proteggere i backup
Una corretta configurazione del backup può comunque mettere al riparo da un tipo di attacco così insidioso, dato che se un attaccante ottiene un accesso privilegiato sulla rete, tutto è a rischio. Anzitutto è utile che la distribuzione del software di backup non abbia accesso al web oppure che si trovi in una rete a gestione isolata. Inoltre è utile avere a disposizione più copie di backup disponibili su diversi supporti. E' la cosiddetta regola del 3-2-1, tre copie dei dati su due supporti diversi, una delle quali conservata "lontana" dalle altre due: il cloud è un ottimo sistema per memorizzare la terza copia di backup.
Anche proteggere la rete, come si è visto, è fondamentale: software di monitoraggio della rete, sistemi di individuazione delle intrusioni e controllo degli accessi geografico e tramite IP sono altre utili soluzioni.