saverioriotto.it

L’evoluzione del ransomware e l’attacco alla supply chain di SolarWinds e Kaseya: lezioni e strategie di difesa

Scopri l'evoluzione dei ransomware nel 2024 attraverso i casi di attacco a SolarWinds e Kaseya. Analisi delle tattiche di attacco, risposte della comunità della sicurezza e strategie di difesa per proteggere le aziende dalle minacce informatiche.

19 Novembre 2024 3 minuti83 visite
L’evoluzione del ransomware e l’attacco alla supply chain di SolarWinds e Kaseya: lezioni e strategie di difesa

Il ransomware è una delle minacce informatiche più pericolose e in continua evoluzione. I recenti attacchi alle supply chain di SolarWinds e Kaseya hanno dimostrato l’abilità dei gruppi di cybercriminali di sfruttare vulnerabilità per colpire migliaia di aziende con impatti devastanti. In questo articolo, esploreremo l'evoluzione delle tattiche di ransomware, analizzeremo due attacchi di grande rilevanza e forniremo strategie pratiche di difesa.

L’evoluzione delle tattiche di ransomware nel 2024

Il panorama dei ransomware si è evoluto significativamente, con nuove tecniche e strategie di attacco. Tra le tendenze più preoccupanti troviamo:

  • Ransomware-as-a-Service (RaaS): Questo modello permette ai cybercriminali di accedere a strumenti preconfezionati per lanciare attacchi sofisticati senza necessariamente avere un background tecnico avanzato.
  • Double Extortion: I criminali non si limitano a criptare i dati delle vittime, ma li rubano e minacciano di divulgarli se il riscatto non viene pagato, aumentando la pressione.
  • Attacchi mirati a settori specifici: Sanità, infrastrutture critiche e aziende tecnologiche sono tra i principali obiettivi, a causa del loro alto valore strategico e della criticità dei dati che gestiscono.
  • Evasione dei controlli di sicurezza: Gli attaccanti utilizzano tecniche avanzate per aggirare le difese aziendali e persino i rilevamenti basati su intelligenza artificiale, aumentando la difficoltà di individuare e fermare l'intrusione.

Caso di studio 1: Attacco alla supply chain di SolarWinds

1. Contesto dell’attacco
Nel 2020, la piattaforma di gestione IT SolarWinds è stata compromessa attraverso una sofisticata campagna di attacco alla supply chain. Gli attaccanti hanno inserito una backdoor, nota come "SUNBURST", in un aggiornamento legittimo del software Orion, distribuendo il codice maligno a migliaia di organizzazioni governative e aziendali.

2. Tattiche utilizzate

  • Compromissione della build del software: Gli attaccanti hanno compromesso i sistemi di SolarWinds per inserire il codice maligno direttamente nel processo di build del software Orion. Questo ha trasformato un aggiornamento legittimo in un vettore di attacco.
    Il codice maligno inserito agiva come una backdoor, consentendo agli aggressori di comunicare con server di comando e controllo (C2). Per evitare il rilevamento, il codice maligno si comportava in modo simile a un normale traffico di rete. Inoltre, gli attaccanti hanno limitato le loro azioni per non sollevare sospetti durante le fasi iniziali.
  • Movimento laterale e persistenza: Una volta installato, il malware ha permesso agli attaccanti di spostarsi lateralmente all'interno delle reti compromesse, esfiltrando dati senza destare sospetti.

3. Risposta della comunità della sicurezza
La scoperta dell'attacco da parte di FireEye ha scatenato un'ondata di collaborazione globale tra aziende di sicurezza e governi, portando alla rapida adozione di patch e strategie di mitigazione. La vicenda ha evidenziato l'importanza di una sorveglianza rigorosa delle supply chain e del monitoraggio costante delle attività di rete.

Caso di studio 2: L'attacco a Kaseya con REvil

1. Dinamica dell’attacco
Nel 2021, il gruppo ransomware REvil ha sfruttato una vulnerabilità zero-day nella piattaforma di gestione IT Kaseya VSA, colpendo circa 1.500 aziende attraverso un singolo attacco alla supply chain.

2. Tecniche di attacco

  • Accesso remoto ai server VSA: Gli attaccanti hanno identificato e sfruttato una vulnerabilità zero-day nel software di gestione remota Kaseya VSA, che consentiva loro di ottenere l'accesso remoto non autorizzato ai server che eseguivano Kaseya VSA. Questo software è spesso utilizzato dagli MSP (Managed Service Providers) per monitorare e gestire i sistemi IT dei loro clienti. Così gli aggressori hanno sfruttato questa vulnerabilità per distribuire il ransomware ai sistemi gestiti, sfruttando la fiducia e l'accesso degli MSP (Managed Service Providers).
  • Distribuzione massiccia: Grazie alla natura centralizzata della gestione dei sistemi tramite VSA, l'attacco ha avuto un impatto rapido e devastante, estendendosi a numerosi clienti in tutto il mondo.

3. Risposta e mitigazione
Kaseya ha rapidamente disattivato i propri server e collaborato con le autorità di sicurezza per contenere la minaccia. Il rilascio successivo di una chiave di decrittazione universale ha permesso alle vittime di ripristinare i propri dati senza pagare il riscatto.

Strategie di difesa contro i ransomware nel 2024

Per affrontare le moderne minacce ransomware e proteggersi da futuri attacchi alla supply chain, le organizzazioni devono adottare un approccio proattivo:

  1. Segmentazione della rete e backup sicuri
    Ridurre l'accesso tra segmenti di rete e mantenere backup offline per mitigare i danni in caso di compromissione.

  2. Monitoraggio e rilevamento avanzati
    Utilizzare soluzioni di Endpoint Detection and Response (EDR) e strumenti di monitoraggio del traffico di rete per rilevare comportamenti sospetti e attività anomale.

  3. Sicurezza della supply chain
    Verificare regolarmente la sicurezza dei fornitori di software e delle soluzioni di terze parti, richiedendo audit di sicurezza e aggiornamenti tempestivi.

  4. Autenticazione multifattoriale (MFA) e modello zero-trust
    Implementare politiche di autenticazione rigide per ridurre le superfici di attacco, adottando un approccio zero-trust che verifica ogni accesso.

Conclusione

Gli attacchi alle supply chain di SolarWinds e Kaseya hanno dimostrato la potenza e la complessità delle moderne campagne ransomware. Prepararsi con strategie di difesa solide, monitoraggio continuo e una gestione proattiva dei fornitori può fare la differenza nella protezione delle organizzazioni da minacce future.




Commenti
* Obbligatorio

Saverio Riotto
Ciao, sono Saverio

Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]

Cerca
Post Popolari
Categorie
Tutorial (20) Tecnologia (49) Sicurezza Informatica (91) Programmazione (86) Lo sapevi che? (1) Intelligenza Artificiale (2) Informatica Generale (17) DevOps (7)
Iscriviti alla newsletter di saverioriotto.it