"Ah ma era questo l'impianto ESXi dove avevo installato il ransomware? Figo, come funzionava prima che lo rompessi? Aveva Linux o Ubuntu?" - Skiddie dopo aver attaccato ESXi
Sei un manager di un impianto VMware, e la tua certificazione VMware, costata denaro e studio, è stata messa a dura prova da un ransomware? Purtroppo non esiste un metodo universale per rimuovere un'infezione ransomware, questo thread ti da indicazioni su come comportarsi in caso di attacco ransomware. Il fatto di aver subito un attacco che dimostra una severa lacuna nella protezione dell'impianto dalle CVE note, è sicuramente un colpo duro alla tua reputazione. Ma si può riparare. Questo thread, indica il comportamento obbligatorio da attuare in caso di attacco ransomware:
1. Google fa l'uccello del malaugurio, fai attenzione ai siti che ti invitano a rinunciare alla "cura" per ripristinare i file. Prova tutte le soluzioni possibili sfruttando anche le tue conoscenze, e smetti di perseverare solamente quando tutte le strade sono effettivamente impercorribili. Meglio averci provato piuttosto che non aver fatto niente;
2. NON PAGARE IL RISCATTO a costo di sacrificare i file: gli autori del ransomware, ricevendo il pagamento, si potrebbero sentire più motivati a riprendere di mira chiunque ha pagato. Questo è davvero molto ovvio, ma dato che gli impianti ESXi sono stati colpiti da una CVE vecchia e nota, ho il sospetto che abbastanza ovvio non sia.
3. Di solito i ransomware domandano qualcosa che varia dai 500 ai 1,000€, nel caso dell'attacco a ESXi ho letto addirittura di 2 Bitcoin (42,000€). Investi il denaro sui BACKUP invece che darlo ai criminali. Il backup è una procedura che ti permette di salvare i file anche in caso di attacco ransomware, rendendoli recuperabili.
Come investigare sul responsabile di un attacco ransomware? A volte le autorità vogliono semplicemente un "colpevole d'emergenza" piuttosto che risolvere il caso, altrimenti fanno "brutta figura". Per me è quindi importante fare un remind sulle principali tecniche per muoversi in questo campo, dal momento che questo forum è molto popolare, ed è visitato da chiunque.
1. Il ransomware ha la fingerprint dell'attaccante, che è l'indirizzo Bitcoin. Loro vogliono sempre farsi pagare in Bitcon, perché è un metodo anonimo. Sul computer dei sospetti è necessaria rilevare una dashboard che viene usata per monitorare e mantenere organizzato lo stato sui pagamenti dei riscatti. Questa dashboard è impossibile da nascondere ed è di vitale importanza per i ladri, dal momento che all'interno di essa vi sono riportati ed enumerati gli indirizzi IP delle vittime, le specifiche dei dispositivi compromessi, lo stato dei pagamenti illeciti.
Se il gruppo ransomware agisce in modo più disorganizzato, magari non avranno una dashboard, ma disorganizzazione significa anche inevitabilmente = aumento della probabilità di aver commesso errori di strafalcioneria, errori che conducono all'evidenza più rapidamente. Questi errori variano da situazione a situazione, sono ben evidenti, e facilmente ricollegabili all'attacco.
2. Una seconda strategia da applicare, è quella di sequestrare direttamente tutti gli account bancari del sospettato, per seguirne il flusso e le fonti di provenienza del denaro acquisito. Questa tattica può rivelarsi utile anche per scoprire se l'attaccante sta riciclando i soldi o è comunque coinvolto in altri reati economici. Durante questo metodo, se si indaga per hacking, è importante prestare particolare attenzione alle transazioni effettuate con i Bitcoin.
3. Verificare se il sospettato è in contatto attraverso canali anonimi con gruppi di hacking illecito. Questo può essere fatto con un'intercettazione.
C'è un ultima cosa che mi sento in vena di dire. In più di un'occasione su questo forum si sono presentati dei tizi che hanno chiesto informazioni, o addirittura supporto nella fabbricazione di ransomware. Non sto insinuando che siano stati loro i responsabili dell'attacco a ESXi, assolutamente, ma ritengo opportuno (per amor di sicurezza) che venga vietato rispondere o fornire supporto a questo genere di richieste, e di cancellarle preventivamente, anche se chi le avanza dichiara che è a "scopo didattico".
Sei un manager di un impianto VMware, e la tua certificazione VMware, costata denaro e studio, è stata messa a dura prova da un ransomware? Purtroppo non esiste un metodo universale per rimuovere un'infezione ransomware, questo thread ti da indicazioni su come comportarsi in caso di attacco ransomware. Il fatto di aver subito un attacco che dimostra una severa lacuna nella protezione dell'impianto dalle CVE note, è sicuramente un colpo duro alla tua reputazione. Ma si può riparare. Questo thread, indica il comportamento obbligatorio da attuare in caso di attacco ransomware:
1. Google fa l'uccello del malaugurio, fai attenzione ai siti che ti invitano a rinunciare alla "cura" per ripristinare i file. Prova tutte le soluzioni possibili sfruttando anche le tue conoscenze, e smetti di perseverare solamente quando tutte le strade sono effettivamente impercorribili. Meglio averci provato piuttosto che non aver fatto niente;
2. NON PAGARE IL RISCATTO a costo di sacrificare i file: gli autori del ransomware, ricevendo il pagamento, si potrebbero sentire più motivati a riprendere di mira chiunque ha pagato. Questo è davvero molto ovvio, ma dato che gli impianti ESXi sono stati colpiti da una CVE vecchia e nota, ho il sospetto che abbastanza ovvio non sia.
3. Di solito i ransomware domandano qualcosa che varia dai 500 ai 1,000€, nel caso dell'attacco a ESXi ho letto addirittura di 2 Bitcoin (42,000€). Investi il denaro sui BACKUP invece che darlo ai criminali. Il backup è una procedura che ti permette di salvare i file anche in caso di attacco ransomware, rendendoli recuperabili.
Come investigare sul responsabile di un attacco ransomware? A volte le autorità vogliono semplicemente un "colpevole d'emergenza" piuttosto che risolvere il caso, altrimenti fanno "brutta figura". Per me è quindi importante fare un remind sulle principali tecniche per muoversi in questo campo, dal momento che questo forum è molto popolare, ed è visitato da chiunque.
1. Il ransomware ha la fingerprint dell'attaccante, che è l'indirizzo Bitcoin. Loro vogliono sempre farsi pagare in Bitcon, perché è un metodo anonimo. Sul computer dei sospetti è necessaria rilevare una dashboard che viene usata per monitorare e mantenere organizzato lo stato sui pagamenti dei riscatti. Questa dashboard è impossibile da nascondere ed è di vitale importanza per i ladri, dal momento che all'interno di essa vi sono riportati ed enumerati gli indirizzi IP delle vittime, le specifiche dei dispositivi compromessi, lo stato dei pagamenti illeciti.
Se il gruppo ransomware agisce in modo più disorganizzato, magari non avranno una dashboard, ma disorganizzazione significa anche inevitabilmente = aumento della probabilità di aver commesso errori di strafalcioneria, errori che conducono all'evidenza più rapidamente. Questi errori variano da situazione a situazione, sono ben evidenti, e facilmente ricollegabili all'attacco.
2. Una seconda strategia da applicare, è quella di sequestrare direttamente tutti gli account bancari del sospettato, per seguirne il flusso e le fonti di provenienza del denaro acquisito. Questa tattica può rivelarsi utile anche per scoprire se l'attaccante sta riciclando i soldi o è comunque coinvolto in altri reati economici. Durante questo metodo, se si indaga per hacking, è importante prestare particolare attenzione alle transazioni effettuate con i Bitcoin.
3. Verificare se il sospettato è in contatto attraverso canali anonimi con gruppi di hacking illecito. Questo può essere fatto con un'intercettazione.
C'è un ultima cosa che mi sento in vena di dire. In più di un'occasione su questo forum si sono presentati dei tizi che hanno chiesto informazioni, o addirittura supporto nella fabbricazione di ransomware. Non sto insinuando che siano stati loro i responsabili dell'attacco a ESXi, assolutamente, ma ritengo opportuno (per amor di sicurezza) che venga vietato rispondere o fornire supporto a questo genere di richieste, e di cancellarle preventivamente, anche se chi le avanza dichiara che è a "scopo didattico".
