Poiché l'attività russa in Ucraina è passata dall'acuirsi della tensione a una vera e propria invasione, il campo di battaglia è stato condotto sia in ambito fisico che informatico. A tal fine, un nuovo malware wiper attribuito agli attori statali russi è stato distribuito per distruggere e degradare le risorse e le infrastrutture ucraine, ma il raggio d'azione dell'esplosione quasi certamente non sarà limitato a questi obiettivi.
Per le organizzazioni che potrebbero trovarsi direttamente o indirettamente nel mirino di questo conflitto, esistono misure pratiche da adottare per proteggersi.
Ransomware e Wiper Malware sono strettamente legati tra loro
Questo malware wiper è strettamente correlato al Ransomware che abbiamo imparato a conoscere negli ultimi anni. L'unica vera differenza sta nell'obiettivo finale: distruggere irreversibilmente i dati e l'accessibilità ai sistemi. Di conseguenza, dovremmo basarci sulle lezioni apprese dagli attacchi Ransomware degli ultimi anni, in particolare quelli attribuiti a gruppi russi o ad essi strettamente collegati.
Come gli attacchi Ransomware, la campagna di malware wiper tende a sfruttare gli exploit contro i servizi accessibili dall'esterno per prendere piede all'interno della rete di un'organizzazione. Da lì, vengono creati canali C2 (comprese le shell Web nella DMZ) per garantire un controllo continuo. Una volta stabilito questo punto d'appoggio, gli aggressori scaricano le credenziali
e li utilizzano per espandere il loro accesso all'interno dell'ambiente con l'intento di massimizzare la loro capacità di infliggere danni. Nella fase finale dell'attacco, il malware wiper viene attivato per rendere il sistema inutilizzabile. Gli aggressori mettono in atto questa fase finale quando hanno massimizzato la loro portata o se vengono avvisati di essere stati scoperti e rischiano di perdere il controllo.
Ogni fase del percorso che porta da un sistema compromesso a un'intera rete di sistemi compromessi serve a massimizzare l'impatto finale. Gli aggressori sono in grado di farlo solo sfruttando il punto di compromissione iniziale per spostarsi all'interno della rete ed espandere il più possibile il proprio accesso.
Le tecniche utilizzate per espandere il controllo e l'impatto sono le stesse che abbiamo osservato per anni: l'uso di credenziali su sistemi compromessi per ottenere l'accesso a nuovi sistemi, fornendo l'accesso ad altre credenziali e così via, fino a ottenere (idealmente) il controllo completo dell'ambiente.
Una vittima degli aggressori wiper ha riferito che il suo controller di dominio è stato compromesso con questa tecnica, che gli aggressori hanno poi utilizzato per distribuire ed eseguire il malware wiper su tutti i sistemi. Si tratta di una tecnica che abbiamo visto sfruttare ripetutamente dagli operatori di ransomware.
Come per i ransomware, ci aspettiamo che i CIO divulgati e il malware utilizzato cambino nel tempo. È facile per gli aggressori apportare rapidamente tali modifiche. Al contrario, è improbabile che cambino le tecniche utilizzate dagli aggressori per impiantare il malware e ottenere il massimo impatto in un ambiente.
Passi pratici per rimanere al sicuro contro il Malware Russian Wiper
In definitiva, queste minacce rappresentano un intento distruttivo e le organizzazioni faranno bene a migliorare la propria resilienza e a mettere in atto piani per garantire un rapido recupero. Esistono misure pratiche da adottare, molte delle quali non sono nuove raccomandazioni, ma potrebbero trovarsi da qualche parte nell'arretrato della vostra organizzazione. Visti i cambiamenti nel panorama delle minacce, suggeriamo alle organizzazioni di riesaminare il proprio calcolo del rischio e di apportare alcune o tutte le seguenti modifiche.
- Rimuovetei frutti più piccoli. Applicare patch e proteggere le risorse accessibili al pubblico. Le risorse accessibili al pubblico con vulnerabilità note e sfruttabili sono facili bersagli e la loro patch deve essere una priorità assoluta. Il CISA fornisce un buon elenco di queste vulnerabilità. In modo analogo, gli account per l'accesso VPN e i portali di accesso pubblico o i servizi SaaS devono essere protetti da un'autenticazione a più fattori.
- Controllarela DMZ. Il traffico autorizzato in uscita dalla DMZ di rete deve essere esplicitamente inserito in una whitelist per aumentare la difficoltà di un avversario di stabilire un punto d'appoggio utile. Tale whitelist può essere impegnativa da mantenere, ma complica notevolmente la capacità di un avversario di eseguire efficacemente il comando e il controllo dalla DMZ.
- Fiduciae minimo privilegio. Spesso si fa riferimento alle credenziali amministrative, ma in questo caso è necessario considerare i sistemi accessibili al pubblico e il resto della rete. Il rischio accumulato, legato a tutte le volte in cui i sistemi e gli account sono stati privilegiati in modo eccessivo per facilitare l'implementazione e il funzionamento, è spesso un fattore chiave che consente l'attacco.
- Mantenete latesta dei vostri collaboratori nel gioco. Ove possibile, imporre tempi di inattività quando non si è in modalità di crisi. Mantenere uno stato di allerta continuo è stressante e aumenta la probabilità di commettere errori o di trascurare indicatori chiave. Rendetevi conto che la risposta agli incidenti informatici è molto stressante.
- Pianificarele comunicazioni fuori banda. I sistemi IT compromessi potrebbero includere quelli utilizzati per le comunicazioni interne (e-mail, chat, ecc.), limitando così ulteriormente le vostre capacità di difesa. Pianificate questa eventualità e investite in comunicazioni sicure e di riserva. Applicazioni come Signal sono popolari per un motivo.
- Privilegiate lafiducia nel vostro piano di ripristino. Troppo spesso i piani di ripristino dei sistemi IT sono costruiti sulla base di una combinazione di ottimismo attuale e di informazioni storiche imprecise. È ora di rispolverarli e di effettuare simulazioni di attacchi, in particolare contro sistemi critici per l'azienda come la posta elettronica.
Se siete un bersaglio o siete sotto attacco, vi aiuteremo senza alcun costo.
La nostra missione organizzativa è rendere il mondo più sicuro e più giusto. E noi siamo al suo fianco. Se la vostra organizzazione è sotto attacco a causa di questo conflitto, vi aiuteremo senza alcun costo.
Riteniamo che le capacità avanzate di rilevamento e risposta siano tra le più critiche che le organizzazioni devono rendere operative per raggiungere la resilienza necessaria a resistere all'attuale generazione di armi informatiche. E crediamo che come settore dobbiamo utilizzare le lezioni apprese nel corso degli anni nella mitigazione, nel rilevamento e nella risposta agli incidenti Ransomware per gestire il problema che stiamo affrontando oggi, anche se con l'urgenza e la volontà di implementare mitigazioni, controlli, capacità di rilevamento e risposte che altrimenti potrebbero essere considerate troppo dirompenti.