Attacco ransomware su larga scala evitato dagli esperti di sicurezza
Una società senza nome stava per diventare l'ultimo titolo negativo e subire un grave attacco ransomware, ma i ricercatori della sicurezza sono riusciti a scongiurare la crisi appena in tempo.
ZDNet ha riferito dell'incidente, che ha coinvolto una grande azienda che ha coinvolto esperti di sicurezza di Sophos, dopo la scoperta di un gran numero di istanze di Cobalt Strike installate sui computer aziendali. A prima vista, questo potrebbe non sembrare qualcosa di sospetto, dal momento che Cobalt Strike è originariamente uno strumento di test di penetrazione legittimo. Tuttavia, nel corso dell'ultimo anno, l'uso di Cobalt Strike è aumentato anche nei circoli criminali informatici.
Dopo che la società ha inizialmente coinvolto Sophos per indagare sulla comparsa di CobaltStrike sulla rete, i ricercatori della sicurezza hanno scoperto che l'intera rete era in fase di elaborazione e preparata per un attacco ransomware su vasta scala.
I criminali stavano pianificando di utilizzare il ransomware REvil e fare più danni possibili, crittografando i dati in massa. Fortunatamente per il cliente di Sophos, i ricercatori di sicurezza sono riusciti a individuare gli sforzi in corso per preparare la rete al payload del ransomware e sono riusciti a evitare l'impatto dell'attacco.
Solo un piccolo numero di sistemi e dispositivi non protetti è stato crittografato, ma ciò non ha avuto alcun impatto significativo sull'azienda. I criminali dietro il tentativo di attacco hanno lasciato una richiesta di riscatto su quei pochi dispositivi che hanno crittografato e la richiesta di riscatto è stata di 2,5 milioni di dollari. Naturalmente, dato che l'attacco su larga scala è stato sventato, nulla di tutto ciò è stato pagato.
Ciò che ZDNet e l'indagine di Sophos sottolineano, tuttavia, è che i malintenzionati dietro l'attacco sono riusciti a introdurre il legittimo software di accesso remoto ScreenConnect su oltre cento macchine aziendali senza che nessuno se ne accorgesse e suonasse l'allarme.
Il team manager di Sophos Rapid Response, Peter Mackenzie, citato da ZDnet, ha affermato che il modo più comune per gli autori delle minacce di ottenere un punto d'appoggio iniziale su una rete di solito prevede il phishing degli utenti o lo sfruttamento di vulnerabilità VPN o sistemi che non hanno l'autenticazione a più fattori abilitata sulle loro VPN.
REvil, il ransomware che ha quasi colpito l'azienda senza nome in questa fortunata serie di eventi, è stato utilizzato con successo anche contro JBS, il più grande produttore americano di carni bovine e suine fresche, e nel caso di JBS, l'azienda non è stata così fortunata. La banda di ransomware dietro quell'attacco è riuscita a spremere ben 11 milioni di dollari da JBS.
Mackenzie ha anche fornito alcuni suggerimenti sulla sicurezza, incluso ciò che l'industria della sicurezza nel suo insieme ha cercato di insegnare alle aziende e alle imprese. I migliori consigli includono il mantenimento del software di sicurezza aggiornato installato e gestito da un hub centralizzato su tutti i dispositivi di rete e il mantenimento di ogni singolo sistema aggiornato con le patch più recenti per tutto il software in esecuzione.
