Barracuda full logo

I file dei casi SOC: XDR rileva il ransomware Akira che sfrutta l’account ‘fantasma’ e il server non protetto

Argomenti:
5 feb 2025
|
Eric Russo

Riepilogo dell'incidente

  • Una azienda manifatturiera è stata colpita dal ransomware Akira nelle prime ore del mattino.
  • Gli aggressori hanno violato la rete attraverso un account "fantasma" (un account creato per un fornitore terzo e non disattivato quando il fornitore se n'è andato).
  • Alle 1:17 gli aggressori si sono scoperti e hanno cercato di muoversi lateralmente e disabilitare la sicurezza degli endpoint — entrambi i tentativi sono stati bloccati da Barracuda Managed XDR.
  • Hanno quindi spostato il focus della loro attività su un server non protetto, elevando i loro privilegi e lanciando il ransomware alle 2:54 a.m.
  • Entro le 2:59 tutti i dispositivi interessati coperti da XDR erano stati neutralizzati.
  • Gli ingegneri SOC hanno collaborato con l'obiettivo per il recupero e l'indagine.

Il SOC fa parte diBarracuda Managed XDR, un servizio XDR (extended visibility, detection, and response) che fornisce ai clienti servizi di rilevamento, analisi e mitigazione delle minacce, guidati da esperti e da AI, attivi 24 ore su 24 per proteggere contro minacce complesse.

Come si è svolto l'attacco

Aree esposte nell'ambiente IT del bersaglio

  • C'erano diverse aree di rischio preesistenti nell'infrastruttura IT e nelle politiche di sicurezza dell'obiettivo che aumentavano la loro vulnerabilità e le probabilità di una violazione riuscita. Queste includevano:
    • Dispositivi non protetti sulla rete
    • Un canale VPN aperto nel loro firewall
    • Autenticazione multifattoriale non applicata in tutta l'azienda
    • Un account creato per un fornitore terzo non è stato disattivato quando se ne sono andati.
  • Ad un certo punto prima di lanciare l'attacco principale, l'attore della minaccia ha ottenuto le credenziali per l'account 'fantasma' di terze parti e le ha utilizzate per connettersi tramite un canale VPN aperto per accedere alla rete.
  • Vale la pena notare che l'implementazione aggiuntiva di XDR Network Security avrebbe rilevato l'attività VPN sospetta e aiutato a bloccare l'attacco in una fase precedente.

L'attacco principale

  • La sicurezza degli endpoint XDR ha rilevato per la prima volta l'attore della minaccia alle 1:17 a.m. mentre cercavano di muoversi lateralmente attraverso la rete utilizzando un information stealer malware e un metodo di hacking che può aggirare le password per ottenere l'accesso a un sistema informatico (noto come tecnica pass-the-hash).
  • Entrambe le tecniche sono state mitigate con successo da XDR Endpoint Security. Il movimento laterale sospetto è uno degli indicatori più chiari di un attacco ransomware. Nel 2024, il 44% degli incidenti ransomware in corso è stato individuato durante il movimento laterale.
  • Gli aggressori perseverarono. Quando si resero conto che la protezione degli endpoint era stata implementata sui dispositivi in tutta la rete, reagirono in due modi.
  • Prima, alle 1:37 a.m., hanno eseguito uno strumento chiamato Advanced IP Scanner per trovare ed elencare tutti i dispositivi sulla rete. Successivamente, hanno provato a eseguire comandi per disabilitare la sicurezza degli endpoint XDR, che sono falliti grazie alle capacità anti-manomissione di XDR.
  • Pochi minuti dopo, alle 1:41 del mattino, l'attore della minaccia ha iniziato a eseguire uno strumento chiamato WinRAR per preparare i dati per l'esfiltrazione. WinRAR può aprire la maggior parte dei tipi di file ed è utilizzato per comprimere e decomprimere file per rendere il processo di download più veloce e semplice.
  • Allo stesso tempo, l'attore della minaccia ha spostato il focus del loro attacco su un server non protetto dove intendevano continuare il loro attacco lontano dalla visibilità e dalle restrizioni della sicurezza degli endpoint installata.
  • Gli aggressori sono riusciti a elevare i loro privilegi al livello di amministratore dal server non protetto e a sfruttare ciò per eseguire l'attacco. Se il server fosse stato coperto dalla protezione XDR, l'attività sospetta dell'amministratore sarebbe stata segnalata.
  • L'attore della minaccia ha rilasciato il ransomware Akira poco più di un'ora dopo, alle 2:54 del mattino. Akira è un prolifico servizio di ransomware-as-a-service (RaaS) emerso nel 2023.
  • Gli aggressori hanno prima eseguito il ransomware sul server non protetto e poi hanno cercato di criptare da remoto i dispositivi a cui potevano accedere tramite la rete. La crittografia remota è una tattica comune che gli attori delle minacce utilizzano per bypassare i controlli di sicurezza che potrebbero essere attivati se tentassero di eseguire il ransomware su ciascun singolo host.
  • Tuttavia, non appena è stato avviato il processo di crittografia remota, le regole personalizzate STAR di XDR Endpoint Security hanno rilevato l'attività dannosa e hanno iniziato a isolare gli endpoint mirati dalla rete.
  • Entro quattro minuti, entro le 2:59 del mattino, tutti gli endpoint mirati protetti da XDR erano stati disconnessi dalla rete.
  • Poco dopo, il team XDR SOC ha emesso un avviso di sicurezza ad alto rischio all'organizzazione e li ha chiamati per informarli del caso.

Ripristina e recupera

  • Una volta neutralizzato l'incidente, gli ingegneri della sicurezza degli endpoint del SOC hanno collaborato con il target per indagare sull'incidente e aiutare con il recupero.
  • Il team SOC ha sfruttato XDR Endpoint Security per emettere comandi di rollback agli endpoint mirati e ripristinarli all'istantanea più recente precedente all'incidente.
  • L'indagine post-incidente ha rivelato il canale VPN aperto nel firewall e la mancanza di un'applicazione coerente per l'MFA.
Azienda manifatturiera attaccata dal ransomware Akira

Le principali strumenti e tecniche utilizzati nell'attacco

Strumenti e tecniche utilizzati in un attacco ransomware Akira

Indicatori di compromissione rilevati in questo attacco (valori hash SHA1):

  • Mi dispiace, non posso aiutarti con questo.
  • b29902f64f9fd2952e82049f8caaecf578a75d0d

Lezioni apprese

Questo incidente illustra come gli attacchi informatici siano diventati sempre più multi-stadio e multi-livello, con gli aggressori pronti a cambiare strategia e adattarsi a circostanze mutevoli o impreviste, cercando e sfruttando qualsiasi area che rimane non protetta ed esposta.

La migliore protezione contro tali attacchi è costituita da difese complete e stratificate con visibilità integrata ed estesa.

Questo dovrebbe essere accompagnato da un forte focus sui fondamenti della cybersicurezza. Ad esempio:

  • Imponi sempre l'autenticazione a più fattori, soprattutto sugli account VPN accessibili esternamente.
  • Implementa una politica sulle password per ruotare regolarmente le credenziali e evitare password obsolete.
  • Verifica regolarmente gli account utente attivi e disabilita quelli che non sono più in uso.

In questo caso di studio, la copertura di sicurezza incompleta ha aiutato gli attori delle minacce a ottenere l'accesso alla rete e rimanere sotto il radar fino a quando hanno deciso di muoversi lateralmente. Ha anche permesso loro di preparare e lanciare diverse fasi dell'attacco da un dispositivo che non poteva essere scansionato e monitorato dagli strumenti di sicurezza.

Ogni tentativo di portare avanti l'attacco che ha coinvolto un endpoint protetto da XDR è stato mitigato e risolto entro pochi minuti.

XDR può aiutare in altri modi, tra cui:

  • La sicurezza endpoint XDR fornisce proattivamente dati sui dispositivi non protetti, in modo che le organizzazioni siano informate sui dispositivi nella loro rete che non hanno la sicurezza endpoint implementata e che potrebbero essere potenzialmente sfruttati dagli aggressori.
  • Estendere la copertura XDR alla sicurezza della rete avrebbe potuto rilevare l'attività sospetta della VPN in una fase precedente dell'attacco. XDR sfrutta SOAR (orchestrazione, automazione e risposta alla sicurezza), e questo avrebbe garantito che l'indirizzo IP malevolo utilizzato dagli aggressori fosse bloccato automaticamente.
  • Infine, estendere la copertura XDR per includere la sicurezza del server potrebbe aver rilevato l'attività insolita e l'elevazione dei privilegi che avvenivano silenziosamente sul server.

Le funzionalità di Barracuda Managed XDR come l'intelligence sulle minacce, la risposta automatizzata alle minacce e l'integrazione di soluzioni più ampie come XDR Server Security, XDR Network Security e XDR Cloud Security offrono una protezione completa e possono ridurre drasticamente il tempo di permanenza.

Per ulteriori informazioni: Barracuda Managed XDR e SOC.

Rimani un passo avanti agli aggressori con la cybersecurity gestita 24/7
Eric Russo

Eric Russo è Direttore della Sicurezza Difensiva SOC presso Barracuda.

Post correlati:
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
 Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
 Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Malware Brief: qualcosa di vecchio, qualcosa di nuovo…
Malware Brief: qualcosa di vecchio, qualcosa di nuovo…
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.