20 luglio 2020

​I movimenti laterali?

Ovvero la minaccia del ricattatore hacker

Due recenti articoli pubblicati tra i blog Microsoft sulla sicurezza hanno attirato la nostra attenzione: parlano di una nuova minaccia a cui ci pare si debba porre attenzione.
Per chi è interessato agli aspetti più tecnici della faccenda, troverete in fondo i link, ma qui non vorremmo parlare di tecnica, ma del problema e dei risvolti che ha.

Innanzi tutto una premessa: il cloud non c'entra, anzi forse il cloud è abbastanza immune da questo tipo di attacco. Sono le cose che teniamo nella rete locale, ed in particolare i file server (ma non solo quelli) a essere a rischio.

L'argomento è già stato visto e rivisto: il ransomware*. Succede: vado su un sito, magari seguendo un link in una mail, e senza saperlo scarico un pezzo di software che cripta tutti i documenti che trova nel mio pc o nei dischi di rete. Poi mi chiede dei bitcoin per darmi la chiave con cui decrittare e recuperare i miei file. Questo tipo di attacco è certamente pericoloso, ma tutto sommato è abbastanza facile difendersi, o almeno avere un sistema che mi consenta di recuperare i dati. Ad esempio posso avere dei backup, o tenere le shadow copy del file system, in modo da poter recuperare la versione precedente dei documenti. È una  scocciatura, ma posso salvarmi.

La novità è che da qualche tempo gli attacchi di questo tipo si stanno  trasformando. Non sono più l'equivalente di un virus, che si propaga come riesce, e che colpisce dove colpisce, a casaccio. Certo anche così si possono fare danni, ma ci si difende, mentre un attacco mirato fa molto più paura.

La novità è che invece di un virus c'è una persona, in carne e ossa, che entra nella rete e che va a caccia dei dati. Proprio come hanno sempre fatto gli hacker che entravano (tuttora entrano) nelle reti a caccia di segreti. Come quelli che hanno rubato i numeri delle carte di credito di Target. Quelli però normalmente cercano dati interessanti, ad esempio da vendere ad altri. E quindi se non custodiamo nulla di interessante o rivendibile possiamo pensare "beh, nel mio caso non corro rischi, i miei dati non hanno valore se non per me". Un po' come se in casa tenessimo solo vecchi ricordi, non oggetti preziosi, e quindi non temessimo i ladri. Non più. Oggi non possiamo più cavarcela così facilmente, proprio perché i miei dati hanno valore per me.

Un ipotetico attacco potrebbe andare circa così:

- Un utente riceve una mail di phishing e "ci casca" rilasciando le proprie credenziali ad un estraneo
Costui le usa per entrare da qualche parte. Lì con tecniche varie, sfruttando debolezze di sistemi non aggiornati o configurazioni imperfette, riesce ad accedere e a controllare un server, sempre che l'utente originale già non lo potesse fare.
- Da quel server, sempre sfruttando debolezze o anomalie varie, ricava delle credenziali privilegiate, o eleva il proprio account e guadagna autorità amministrative.
A questo punto l'estraneo si mette a girare in rete e a cercare dati. Gli interessano dati che hanno l'aria di essere importanti per noi, non per lui. Ad esempio se li abbiamo protetti bene evidentemente ci teniamo…
Ora si dà da fare e cancella i backup (se li trova), elimina le shadow copies, insomma fa in modo che non ci siano copie alternative di quei dati.
E a questo punto cripta i dati e lascia in giro un post-it virtuale, con una richiesta di riscatto.

Quindi il contenuto non interessa all'intruso. Non perde nemmeno tempo a capire se può essere interessante, gli basta sospettare che sia importante per l'azienda. Ad esempio potrebbe entrare in un server hyper-v, fermare i servizi, e criptare intere macchine virtuali, rendendole inservibili e bloccando contemporaneamente l'accesso ai dati e ai servizi.

Microsys l'ha visto succedere in almeno due casi, forse tre (il terzo potrebbe avere origini diverse dal desiderio di rubare denaro). E in questi casi il danno è stato grave, molto più del tipico attacco di ransomware. Non tanto per il costo del riscatto (non ci risulta che abbiano pagato) ma nel costo di ricostruire i sistemi.

La cosa importante di questa storia è che qui siamo di fronte a un umano che con santa pazienza si mette a scartabellare tra la nostra roba, col solo intento di renderla per noi inaccessibile, per poterci ricattare. Come uno che entrasse in casa vostra non per rubarvi la cassaforte, ma per cambiarle la combinazione e chiedere poi soldi per svelare quella nuova.

Ci si può proteggere?

Certamente sì. Soprattutto ci si può provare. Come abbiamo detto altre volte la sicurezza non è perfetta, ma se riduciamo le probabilità che un attacco abbia successo già abbiamo ottenuto qualcosa. Per farlo dobbiamo sia ridurre le possibilità che qualcuno possa entrare, che ridurre la sua libertà di muoversi all'interno della rete. Inoltre è possibile sfruttare i "movimenti laterali" (i salti da un server all'altro che l'intruso farà) come indicatore di qualcosa di anomalo e di conseguenza far scattare allarmi automatici.

Oltre a quanto discusso nei due articoli, anzi, ancora prima di mettersi a fare quello che dicono, è importante mantenere aggiornati i sistemi e prendere sempre sul serio le buone pratiche di sicurezza. E tenere presente che se gli utenti hanno strumenti che consentono loro di entrare in rete da dall'esterno, allora li potrebbe avere anche un estraneo che riuscisse a procurarsi quelle credenziali ad esempio tramite un attacco di phishing. Se gli utenti possono accedere da fuori allora lo possono fare pure gli hacker. A questo punto entra in gioco il movimento laterale e l'elevazione dei privilegi. Qui per difendersi occorre impostare la sicurezza come se non ci si potesse fidare gli uni degli altri (che è esattamente il punto), partizionare la rete, aggiornare i sistemi, controllare i profili privilegiati, ecc.


Una nota: un backup fatto su Azure con DPM può essere cancellato da un amministratore, ma rimane comunque disponibile per 14 giorni. E il responsabile riceverà immediatamente una mail di allerta se qualcuno cancella un backup…
Una seconda nota: usare le VPN probabilmente non semplifica, ma anzi complica.
E un'ultimissima: il bitcoin fa male anche a te. Digli di smettere.

A proposito dei blog a cui abbiamo accennato:
Human-operated ransomware attacks: A preventable disaster è un dettagliato resoconto di come avviene l'attacco e di cosa normalmente fanno alcuni dei gruppi che operano in questo modo.
Inside Microsoft Threat Protection: Attack modeling for finding and stopping lateral movement discute la questione dei movimenti laterali e di come rilevarli.

*Il ransomware (ransom malware), è un tipo di malware che blocca l'accesso a sistemi o file degli utenti e chiede il pagamento di un riscatto per renderli nuovamente accessibili. Ad esempio: WannaCry, Petya, Cerber, Cryptolocker e Locky
Segui la nostra
pagina su LinkedIn