Il ransomware Lockbit torna di nuovo a colpire in Italia: tre aziende colpite da inizio Novembre. Sul leak site i countdown
Lockbit “abbatte” la Boeing
Che Lockbit sia una delle operazioni ransomware più attive e pericolose di quelle attualmente “sul mercato” non c’è dubbio. I primi giorni di Novembre, di Lockbit si è parlato nei media di mezzo mondo, a causa di un attacco di quelli “di punta”, come potremmo definirlo. LockBit ha “bucato” la Boeing, il gigante aerospaziale famoso in tutto il mondo.
L’azienda ha confermato che l’attacco non ha avuto impatto sulla sicurezza dei voli, ma il sito web e tutti i servizi Boeing sono stati offline svariati giorni
La schermata mostrata dal sito boeing[.]com quando era offline
La schermata mostrata dal sito boeing[.]com quando era offline
Gli attaccanti però hanno rivendicato non solo l’accesso alla rete aziendale ma soprattutto il furto di una gran quantità di dati sensibili.
La rivendicazione dell'attacco a Boeing sul leak site di Lockbit
La rivendicazione dell’attacco a Boeing sul leak site di Lockbit
Gli attaccanti avevano minacciato la pubblicazione dei dati entro il 2 Novembre, ma nel leak site di Lockbit non se ne trova traccia. Probabilmente l’azienda ha trovato un accordo con gli attaccanti.
Per approfondire > Ransomware: Lockbit la catena di attacco e le attività anti-forensi
Un diluvio di attacchi in Italia
Ma veniamo a noi e al Bel Paese. In questa prima settimana di Novembre si contano ben 3 vittime italiane. Il 2 Novembre la gang ransomware rivendica l’attacco alla De Gregoris, azienda di arredi in provincia di Latina.
La rivendicazione dell'attacco a De Gregoris sul leak site di Lockbit
La rivendicazione dell’attacco a De Gregoris sul leak site di Lockbit
La rivendicazione è correlata, come da tradizione, da una serie di samples dei dati rubati.
i samples dei dati rubati dalla De Gregori
I samples dei dati rubati dalla De Gregori
Lo stesso giorno ecco pubblicata la seconda rivendicazione: bucato il Centro Ortopedico di Quadrante SpA. Nella rivendicazione gli attaccanti specificano che è stato attaccato il sito web ospedalecoq[.]it, che al momento è ancora down, e non il sito ospedalecoq[.]com che invece è raggiungibile. Su questo è intervenuta l’azienda stessa, specificando come il dominio .it sia in abbandono da molto tempo.
La rivendicazione dell'attacco al Centro Ortopedico di Quadrante sul leak site di Lockbit
La rivendicazione dell’attacco al Centro Ortopedico di Quadrante sul leak site di Lockbit
Qualche giorno dopo l’attacco, l’azienda ha contattato la redazione di red Hot Cyber (tra le prime testate a rendere pubblica la notizia), dichiarando che
“il sistema è integro e il sito aziendale è operativo e consultabile”.
La rivendicazione, a tutt’oggi, non presenta sample di dati rubati.
Il 5 Novembre ecco l’ennesima rivendicazione: il Consorzio di Bonifica dell’Emilia. Gli attaccanti dichiarano di aver violato la rete aziendale e fissano al 13 Novembre 2023 la deadline oltre alla quale renderanno pubblici i dati rubati.
La rivendicazione dell’attacco al Consorzio di Bonifica sul leak site di Lockbit
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.