Team Semperis

La preoccupazione per l'attacco ransomware di Colonial Pipeline da parte di DarkSide si è estesa al di là del settore della sicurezza informatica e si è estesa alla coscienza dei consumatori di tutti i giorni, un indicatore delle ampie implicazioni che l'attacco ha sull'economia globale. In risposta, l'amministrazione Biden ha emesso un ordine esecutivo e ha tenuto una conferenza stampa, mentre la comunità degli hacker si è mossa per abbattere i server della banda del ransomware DarkSide.

Cosa potete fare per proteggere la vostra azienda da un attacco ransomware-as-a-service (RaaS) simile a quello che ha paralizzato Colonial Pipeline? Per prima cosa, è necessario capire come vengono condotti gli attacchi RaaS, che di solito privilegiano le vulnerabilità di Windows da sfruttare per l'accesso iniziale. In questo video, Sean Deuby, MVP di Microsoft e Direttore dei servizi di Semperis, spiega come gli aggressori violano Active Directory.

Lettura correlata

Come sottolinea Deuby nel video, i gruppi RaaS seguono un certo modello di comportamento:

  • Un attacco inizierà con una "ricognizione" utilizzando strumenti di penetrazione per ottenere l'accesso iniziale ai vostri sistemi.
  • Dopo aver ottenuto un punto d'appoggio, gli aggressori passano settimane a cercare le vulnerabilità e a ottenere l'accesso agli account utente privilegiati.
  • La banda cercherà di massimizzare l'impatto dopo aver bloccato i sistemi e richiesto il riscatto.
  • L'attacco non solo ruberà i vostri dati sensibili, ma probabilmente minaccerà anche di renderli pubblici se non verrà pagato tempestivamente un riscatto.

La banda di ransomware DarkSide, in particolare, ha alcune stranezze proprie:

  • DarkSide è esperto di affari. Non solo afferma di avere dei "principi", come quello di non prendere di mira ospedali o scuole, ma attacca solo le organizzazioni che sa che possono e vogliono pagare.
  • La banda è opportunista e colpisce quando le organizzazioni sono più propense a pagare. È paziente, esegue ricognizioni per diverse settimane per individuare i gioielli della corona.
  • Infine, sa che le entrate derivanti dal ransomware sono prevedibili: non ci sono segnali di rallentamento del ransomware-as-a-service. L'attacco a Colonial Pipeline, ad esempio, segnala che gruppi come DarkSide hanno dichiarato "stagione aperta" ai fornitori di infrastrutture e ai sistemi SCADA.

Anche se non siete un'azienda che si occupa di infrastrutture, ecco il risultato principale: I gruppi di attacco Ransomware-as-a-Service privilegiano le vulnerabilità di Windows. I consigli più comuni, come "mantenere aggiornati i sistemi Windows", sono particolarmente applicabili quando si ha a che fare con questo tipo di attacchi. Tuttavia, è anche fondamentale cercare in modo proattivo le configurazioni deboli nei sistemi di identità (in particolare Active Directory) che sono i primi obiettivi degli aggressori.

Scarica Purple Knight Strumento di valutazione della sicurezza gratuito

Per aiutare le aziende a difendersi dagli attacchi ransomware-as-a-service, Semperis ha rilasciato uno strumento gratuito di valutazione della sicurezza, Purple Knightche consente alle aziende di sondare in modo sicuro il proprio ambiente Microsoft Active Directory (AD) per identificare pericolose configurazioni errate e altri punti deboli che gli aggressori possono sfruttare per rubare dati e lanciare campagne malware. Costruito e gestito da un gruppo d'élite di esperti di identità Microsoft, lo strumento consente alle organizzazioni di combattere la marea di attacchi in aumento che hanno come obiettivo l'AD, individuando gli indicatori di esposizione e compromissione nei loro ambienti e fornendo indicazioni correttive per colmare le lacune.

Purple Knight è attualmente utilizzato da alcune delle più grandi organizzazioni con gli ambienti di identità più complessi al mondo. All'inizio, gli utenti hanno riportato un punteggio medio di fallimento del 61%, il che aiuta a spiegare perché AD è un facile bersaglio per le bande di ransomware. Purple Knight vi aiuta a identificare le aree in cui la sicurezza del vostro sistema di identità necessita di attenzione, tra cui la sicurezza di Kerberos, la delega AD, la sicurezza degli account, la sicurezza dell'infrastruttura AD e la sicurezza dei Criteri di gruppo.

Per saperne di più su Purple Knight e richiedere l'accesso gratuito, visitate il sito purple-knight.com. Per un'analisi più approfondita di come i recenti attacchi di alto profilo hanno sfruttato Active Directory, visitate il seminario web "How Attackers Exploit Active Directory: Lessons Learned from High-Profile Breaches", presentato da Ran Harel (Principal Security Product Manager di Semperis) e Brian Desmond (Principal of Ravenswood Technology Group).

Pochi minuti del vostro tempo possono servire a rendere più solido il vostro sistema di identità principale e ad alzare la barriera d'ingresso per gli aggressori.