logo

CybergON Blog

Advancing the State of Cybersecurity.

Quattro lezioni dal caso Axios

Durante la prima settimana di aprile, a pochi giorni dalla riapertura delle scuole, tutti i genitori, insegnanti e studenti delle nostre scuole si sono trovati di fronte all’indisponibilità del famoso “registro elettrico”, portale web fornito dall’azienda Axios.

Il 3 Aprile alle 11:00, Axios ha pubblicato un primo comunicato sul proprio sito “a seguito di un improvviso malfunzionamento tecnico occorso durante la notte, si è reso necessario un intervento di manutenzione straordinaria.” Il portale risultava quindi offline da diverse ore come era già accaduto durante altre precedenti occasioni. Nelle ore e giorni successivi sono stati forniti ulteriori dettagli relativo all’accaduto e nella serata del 5 aprile Axios pubblica il seguente comunicato: “a seguito delle approfondite verifiche tecniche messe in atto da Sabato mattina in parallelo con le attività di ripristino dei servizi, abbiamo avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza di un attacco ransomware portato alla nostra infrastruttura.”

A distanza di una settimana il servizio è tornato attivo provocando un grosso mal di testa per la società che eroga il servizio. L’ultima comunicazione da parte della società riporta che “non risultano presenti rischi per i diritti e le libertà delle persone fisiche”, Axios ha infatti specificato che “i dati personali gestiti non sono stati persi/distrutti e non vi è stata alcuna visione/estrapolazione indebita.” Sarà così?

L’anatomia dell’attacco ransomware

Un piano di risposta concordato e strutturato è fondamentale in un’organizzazione, perché permette di intervenire in caso di attacco. Ma per definire un piano di azione, bisogna fare un passo indietro ed analizzare l’anatomia dell’attacco. Anche se non si hanno dettagli sicuri sul malware che ha colpito Axios, possiamo analizzare un comune attacco ransomware.

Il momento più eclatante, in cui il ransomware “chiede il riscatto”, è soltanto lo step finale di una catena di azioni che sono state eseguite precedentemente. Se si manifesta questa fase, possiamo affermare con certezza che le difese non hanno avuto effetto e nessuna attività di detect dei sintomi e comportamenti anomali durante le fasi precedenti hanno permesso di bloccare il completamento del processo.

anatomy-attack

Se ripercorriamo tutti gli step, possiamo notare che le prime 3 azioni compiute all’interno dell’attacco hanno come obiettivo quello di ottenere privilegi sfruttando una vulnerabilità.

Queste tre fase di identificazione e sfruttamento della vulnerabilità portano al nocciolo dell’attività: il deploy del malware, da cui inizia la Data Exfiltration (che ricordiamo, sembra non aver coinvolto Axios) e che si conclude con la crittografia dei dati sorgenti e la richiesta del riscatto. Il tempo totale di questo processo impiega mediamente 6 settimane, ma in molti casi raggiunge anche i 3 mesi.

Dal momento iniziale, fino a quello finale (la famosa schermata con la richiesta in cryptovaluta), il comune denominatore da un punto di vista di comportamento della macchina è l’anomalia. Spieghiamo meglio: come SOC, parte della nostra attività consiste nel monitoraggio continuo, sia del perimetro pubblico, che di quello aziendale. Questo costante monitoraggio ci permette di identificare eventuali anomalie nel comportamento dei dispositivi in rete, e quindi analizzarle. L’analisi dell’anomalia è fondamentale per intercettare una minaccia. Per utilizzare un sillogismo, tutti gli attacchi comportano un’anomalia, ma non tutte le anomalie rappresentano una minaccia.

Questa attività è necessariamente eseguita da tecnologie e tool avanzati, che devono essere gestiti, controllati e arricchiti da team competenti (interni o esterni all’azienda) e con una particolare attenzione alla copertura oraria: Axios, ad esempio, ha dichiarato che il “malfunzionamento tecnico” è occorso durante la notte tra venerdì e sabato.

Quattro lezioni dal caso Axios

  • Strutturare un processo di Incident Response ad hoc per attivare una risposta tempestiva ed efficace nel caso in cui l’attacco vada a buon fine Il governo delle difese aziendali deve passare anche dalla gestione dell’incidente e dei piani di emergenza in caso di attacchi gravi, che deve prevedere un intervento in modalità 24x7. Come vediamo, molti degli attacchi recenti avvengono di venerdì sera. L’impatto dell’attacco informatico è direttamente proporzionale al tempo di risposta messo in campo.

  • Organizzare la difesa intorno al concetto di Data Loss Prevention Nel caso particolare di Axios è stato dichiarato che i dati presenti sui loro sistemi (tra cui i dati personali nostri e dei nostri figli) non risultano essere stati “rubati”, ma non esiste certezza durante questi attacchi che non ci sia stato tale furto. Un piano efficace deve prevedere questi passaggi: definire il dominio principale di protezione e identificare i tipi di dato che vengono scambiati e dove vengono memorizzati; Verificare di avere un piano di backup completo che tenga conto delle effettive esigenze con effettuando test di restore a intervalli regolari; rivedere, se presenti, i piani di business continuity, disaster recovery e le procedure per eventuali data breach.

  • Non sottovalutare le vulnerabilità Gli strumenti sopracitati evidenziano comportamenti anomali e con una buona strategia di difesa si può garantire una protezione del dato a diversi livelli. Tuttavia sarebbe utopistico affermare che i sistemi possano essere considerati sicuri. Il concetto di vulnerabilità e soprattutto di vulnerabilità 0-day è per sua natura in contrapposizione, ma avere politiche di patching dei software presenti in azienda può ridurre di molto il rischio di sfruttare vulnerabilità, che come visto, sono spesso i punti d’ingresso degli attaccanti.

  • Fare awareness sui dipendenti Lavorare sulla consapevolezza degli utenti con corsi di formazione ricorsivi e su tematiche quali l’ingegneria sociale, il phishing, l’uso consapevole delle piattaforme e la gestione delle password, solo per citarne alcune, contribuisce a creare una cultura della sicurezza in azienda e quindi innalzare scudi difensivi.

Elmec Informatica utilizza cookie tecnici e cookie analitici anonimizzati. Per maggiori informazioni leggi la cookie policy. Chiudendo questo banner o continuando la navigazione sul sito acconsenti all’utilizzo dei cookie.