Questo articolo riprende l’interessante intervento ‘Autopsia di un attacco reale’, tenuto da Gianluigi Monti, sales manager di Netech, in occasione di HackInBo business edition 2024 dello scorso novembre. Gianluigi Monti nel suo speech ci accompagna passo passo attraverso le fasi e le attività di un threat actor nel corso di un attacco ransomware, dal punto di accesso alla rete aziendale fino alla esfiltrazione dei dati dell’organizzazione, alla cifratura e alla cancellazione dei back-up.
L’attacco ransomware avviene infatti seguendo un modello che prevede diverse attività da parte dell’attaccante, ovvero ingresso, persistenza, analisi e, infine, l’attacco vero e proprio. Nella fattispecie dell’attacco analizzato, avvenuto ai danni di un’importante e grande azienda, l’attaccante, una volta entrato nella VPN dell’azienda tramite compromissione di un’utenza, ha avviato delle attività di enumerazione, cercando di capire come fosse strutturata la catena di utenti, quali domini costituivano di fatto la rete dell’attaccato. Il tutto tramite funzionalità presenti normalmente all’interno del sistema operativo Windows Server e Client, quindi senza uso di script particolari.
L’hacker ha poi proceduto alla enumerazione delle share, per vedere quali cartelle venivano condivise e su quali macchine host. Ha inoltre individuato all’interno di una stessa macchina quanti altri amministratori fossero presenti, per iniziare a costruire una analisi dettagliata della rete dell’attaccato. Il video elenca le diverse tecniche di enumerazione utilizzate, possibili grazie a una conoscenza approfondita da parte dell’hacker dei sistemi operativi e di come questi lavorano e cooperano. Sfruttando così le abitudini e le ‘cattive’ abitudini degli utenti anche nell’amministrazione di reti complesse.
A questo punto, l’attaccante ha sfruttato una vulnerabilità del sistema, vero e proprio tallone d’Achille delle reti Microsoft che è rappresentato dal protocollo RDP, Remote Desktop Protocol che Microsoft ha introdotto nel suo sistema operativo per consentire la connessione da remoto dell’utente da un altro computer. Questo rende infatti le reti facilmente attaccabili, consentendo di gestire una macchina virtuale conoscendo nome utente e password, o anche senza avere le credenziali in quanto spesso salvate nella schermata di login iniziale. Si stima che il 32% degli attacchi informatici sfrutti proprio questa vulnerabilità, per cui una adeguata protezione delle sessioni RDP e gestire il tutto in maniera più sicura rappresenta già un importante punto di partenza per difendersi dagli attacchi malevoli.
L’hacker nel frattempo continua a portare avanti la persistenza: gli attaccanti non vogliono infatti solo capire quale tipo di informazioni sono presenti, vogliono anche assicurarsi di avere strumenti persistenti che rimangano all’interno della rete anche qualora venissero inizialmente scoperti. Utilizzando ad esempio dei client SSH per creare attraverso dei comandi specifici dei tunnel SSH, vere e proprie interconnessioni dentro e fuori dalla rete che normalmente passano inosservati, dal momento che viaggiano su protocolli standard. Questi sono stati quindi utilizzati per effettuare ulteriori attività di controllo, ricerca e recupero di informazioni.
Si giunge quindi momento in cui viene scoperto un nuovo meccanismo malevolo di attacco usato dall’hacker: una volta capito quale fosse il server dedicato ai back-up, una macchina Veeam, ne ha preso possesso via RDP e attraverso una query SQL ha esfiltrato il database degli utenti di Veeam. Utenti che hanno privilegi amministrativi sulla macchina Veeam stessa, la quale parla direttamente con gli host VMware. Si è in tal modo assicurato di poter attaccare la macchina più importante, quella su cui funzionano le macchine virtuali, ovvero il cluster VMware.
Tramite uno script che usa un sistema di decrifratura delle password memorizzate nel database di Veeam, l’attaccante è quindi riuscito ad avere i nomi degli utenti e le rispettive password in chiaro. Da qui, discende la fondamentale l’importanza di conoscere a fondo i sistemi utilizzati in azienda, e una vulnerabilità molto diffusa nelle organizzazioni: ossia, l’avere installate nella stessa infrastruttura di rete la macchina Veeam, la VMware, la rete di management, il tutto con una rete unica non segregata. Questo semplifica moltissimo la vita ai criminali informatici.
Ora, l’attaccante non solo punta a bloccare le informazioni aziendali, ma fa una cosa ancora più malevola, esfiltrando mezzo Tera di dati e portando informazioni fuori dall’azienda per 7 ore consecutive: ha infatti in precedenza fatto una enumerazione, sa quali sono le share, sa dove sono i file, sa come il cliente li conserva, ha avuto anche tutto il tempo per studiarli, trovare carte d’identità, informazioni personali.
In conclusione: l’hacker è entrato, ha enumerato, ha sfogliato la rete e l’ha imparata meglio di chi l’aveva realizzata, cancella i back-up, per essere sicuro di creare un danno. Avendo inoltre esfiltrato i dati, si è già creato l’opportunità per ricattare la sua vittima: nelle attività di ransomware, il riscatto è infatti volto non tanto alla restituzione dei dati, quanto a evitare la loro pubblicazione e divulgazione, che ai sensi delle odierne normative sulla protezione dei dati costituiscono reato.
Il DDAY è quanto il threat actor contatta uno degli host VMware attraverso un tunnel SSH, ne prende possesso e vi butta all’interno un sistema di cifratura. Il threat actor dispone a questo punto di tutti gli ingredienti per arrecare il massimo danno possibile all’azienda, avendo esfiltrato i dati e cancellato i back-up. Nelle ore notturne, ad azienda sguarnita con nessuno che controlla, lancia l’attacco di cifratura dei dati aziendali, lasciando l’organizzazione con i sistemi completamente bloccati.
Netech torna ad HackInBo business edition 2025, in programma il prossimo 6 giugno a Bologna, in qualità di Gold Sponsor della manifestazione dedicata agli esperti e amanti della cybersecurity.
Commenti recenti