Ransomware attack. Cosa possiamo imparare.
Ransomware attack. Cosa possiamo imparare.
Il recente attacco ransomware a Colonial Pipeline è uno dei più significativi attacchi informatici nel settore energetico fino ad oggi. Ha sopraffatto gli esperti di sicurezza informatica in tutto il mondo. Il 29 aprile 2021, Colonial Pipeline, la società che gestisce il più grande gasdotto degli Stati Uniti, trasportando circa il 45% del carburante utilizzato sulla costa orientale, è stata attaccata da hacker del gruppo criminale DarkSide. L’azienda ha temporaneamente chiuso l’intera rete, causando gravi carenze di carburante e un’impennata dei prezzi del gas. Colonial Pipeline ha ripreso i suoi servizi entro due settimane dalla chiusura. Gli hacker hanno comunque distrutto una delle risorse energetiche più critiche della nazione. Hanno colpito oltre 50 milioni di residenti ricevendo in cambio un riscatto di 4,4 milioni di dollari. Incidenti di sicurezza come questo evidenziano che gli attacchi informatici e le violazioni costano alle organizzazioni e alla loro reputazione. Possono potenzialmente interrompere la fornitura di servizi al pubblico. È giunto il momento che le aziende, in particolare quelle che servono l’interesse del pubblico e svolgono ruoli importanti nell’economia, rafforzino il loro programma di sicurezza informatica.
Ransomware attack. The backstory.
Un account VPN abbandonato e inattivo, pratiche di password scadenti. Ecco cosa ha permesso l’attacco ransomware. Gli hacker sono entrati nella rete aziendale tramite un account VPN che non era più attivo al momento dell’attacco. La password dell’account era disponibile sul dark web all’interno di una serie di password trapelate. Ciò significa che un dipendente potrebbe aver utilizzato la stessa password su un altro account precedentemente violato. Ciò che ha favorito agli hacker è che anche l’account non utilizzava l’autenticazione a più fattori (MFA). L’incident è passato inosservato per più di una settimana, fino a quando una richiesta di riscatto è apparsa sullo schermo di un computer, chiedendo criptovaluta. La compagnia ha impiegato un’altra settimana per confermare che l’unità operativa dell’oleodotto non era stata danneggiata. Colonial Pipeline ha ripreso i suoi servizi il 12 maggio. Questo dimostra come le aziende non prestano ancora attenzione all’importanza di praticare la “sicurezza di base”. Adozione di MFA, identificazione e eliminazione di account privilegiati inattivi e l’utilizzo di solidi controlli di accesso. Ciò che sarebbe stato facilmente prevenuto con il solo set di controlli di base si è trasformato in un disastro di sicurezza informatica a causa della totale mancanza di attenzione alle migliori pratiche di sicurezza consigliate.
Ransomware attack. Security failure.
La crescente popolarità del lavoro a distanza ha portato a un aumento significativo del numero di attacchi basati sull’accesso remoto. Gli hacker sono sempre alla ricerca di VPN non sicure e percorsi di accesso remoto vulnerabili per entrare nelle infrastrutture critiche. Un passo negligente da parte di un dipendente o di un’azienda porta allo sfruttamento di vulnerabilità potenziali ma spesso trascurate. L’hacking di Colonial Pipeline è stato disastroso. E’ il risultato di pura negligenza nel proteggere le infrastrutture critiche. Ecco gli aspetti chiave che hanno catalizzato l’attacco.
Ransomware attack. Duplicate password.
Se l’azienda avesse imposto l’uso di password univoche per gli account con privilegi, il dipendente non avrebbe scelto una password utilizzata in precedenza per il proprio account aziendale. Il modo più semplice per farlo è tramite l’uso di un generatore di password che suggerisce password complesse e complesse in modo casuale.
Ransomware attack. Inactive privileged accounts.
L’account utilizzato per accedere alla rete IT di Colonial Pipeline non era attivo al momento dell’attacco. Molte aziende non tengono traccia degli account inattivi e di quelli appartenenti a ex dipendenti. Rimangono intatti fino a quando non vengono eliminati definitivamente dopo una violazione o un incidente di sicurezza.
Ransomware attack. No MFA.
La mancanza di un’autenticazione forte può consentire l’accesso non autorizzato e senza ostacoli ai sistemi critici con una sola credenziale. Anche con le credenziali legittime in mano, l’aggressore non avrebbe avuto accesso al sistema se fosse stato nuovamente sfidato per dimostrare la propria identità.
Ransomware attack. Solution for network access.
Le VPN con scarsi controlli di accesso sono ora considerate insicure e inaffidabili per l’accesso remoto. Ciò di cui hanno bisogno aziende critiche come Colonial Pipeline è una console centrale che unifichi tutti gli accessi alla rete aziendale. Sia in sede che tramite cloud pubblici e privati, con rigorosi controlli di accesso e monitoraggio delle sessioni.
Ransomware attack. Proper threat detection.
Un utente malintenzionato riesce a entrare nella rete aziendale. È importante avere strumenti di monitoraggio della rete completi. Possono attivare alert tempestivi ai supervisori interessati per interrompere immediatamente le sessioni sospette. I sistemi di rilevamento delle intrusioni, i sistemi di prevenzione delle intrusioni, gli strumenti di analisi basati su AI e ML e le soluzioni SIEM possono monitorare continuamente una rete. Possono acquisire qualsiasi informazione su possibili minacce e malware e segnalarli agli amministratori per azioni preventive. È ora che le aziende moderne implementino tecnologie avanzate per ottenere informazioni significative e arginare gli attacchi informatici al nocciolo.
Ransomware attack. Trace the activities.
Ci è voluta più di una settimana agli investigatori per controllare l’intera rete di gasdotti per ulteriori vulnerabilità. Un audit trail completo degli eventi effettuati durante la sessione, insieme a registrazioni della sessione a prova di manomissione, avrebbe potuto accelerare il processo di ispezione.
Ransomware attack. Poor network segmentation.
L’attacco ha preso di mira i sistemi informatici di Colonial Pipeline. Poiché questi erano collegati all’unità operativa, l’azienda ha dovuto chiudere immediatamente l’intero gasdotto. L’incapacità di Colonial Pipeline di mantenere la propria rete segmentata, in modo che non si possa facilmente passare da una divisione aziendale all’altra, è stata fondamentale per il successo dell’attacco. Ha evidenziato la mancanza di un’adeguata “igiene informatica”.
Ransomware attack. Holistic security posture.
Per ottenere una protezione completa contro gli attacchi ransomware, le aziende richiedono più livelli di difesa. Una postura di sicurezza informatica matura e resiliente combina una gamma di soluzioni di sicurezza IT che funzionano in modo integrato per proteggere dalle minacce. Ecco alcuni suggerimenti degli esperti per rafforzare la tua difesa contro il ransomware.
Ransomware attack. Secure your e-mail platform.
La posta elettronica è la fonte della maggior parte degli attacchi ransomware. È sfruttata dai criminali informatici per falsificare le credenziali per l’accesso illegittimo alla rete o per distribuire direttamente malware. Aggiungi funzionalità avanzate di protezione da phishing e malware al server di posta per scansionare e separare le e-mail in entrata. Blocca gli allegati anomali e proteggi dalle e-mail di phishing in entrata. Educare i dipendenti sull’importanza di seguire le norme di base sulla sicurezza. Non divulgare informazioni personali quando si risponde a e-mail, telefonate o messaggi di testo. Essere a conoscenza di come appaiono le e-mail e gli allegati fraudolenti. Contattare il reparto IT dopo aver ricevuto chiamate o e-mail sospette.
Ransomware attack. Antivirus and firewalls.
Installa il software antivirus su tutti i dispositivi e aggiornali regolarmente con patch di sicurezza. Installa anche un firewall e configuralo per limitare il traffico alla rete solo alle porte e agli indirizzi IP necessari.
Ransomware attack. Patch your systems.
Mantenere ogni sistema aggiornato sulle patch è importante per proteggersi dal ransomware. Gli aggressori spesso sfruttano falle di sicurezza e bug all’interno di software o sistemi operativi per diffondere malware dopo aver ottenuto l’accesso.
Ransomware attack. Risk assessments.
Valuta periodicamente i rischi per la sicurezza per mitigare in modo proattivo i potenziali rischi. Identifica le vulnerabilità e le carenze della sicurezza nell’intera rete aziendale.
Ransomware attack. Back up your systems.
La chiave per evitare i pagamenti di riscatto è disporre di backup robusti. Esegui regolarmente il backup dei dati, in locale e nel cloud. Utilizza crittografia avanzata e accesso controllato per garantire la protezione dei dati aziendali. Gli esperti di sicurezza consigliano di conservare almeno tre copie dei dati della tua azienda. Falle su diversi dispositivi o supporti di archiviazione. Meglio averne una completamente offline e accessibile solo fisicamente.
Ransomware attack. Invest in PAM.
Oggi gli hacker utilizzano metodi e strumenti sofisticati. Spesso sono i privilegi amministrativi aperti e le credenziali compromesse che danno loro l’accesso iniziale all’infrastruttura. Per il recente attacco a un impianto di trattamento delle acque in Florida, è bastata una password non protetta per accedere e gestire i sistemi di controllo da remoto. È fondamentale per le aziende garantire una governance completa degli account privilegiati. È importante gestire l’accesso ai sistemi critici e monitorare le sessioni privilegiate remote in tempo reale con audit e report completi. Una solida soluzione di gestione degli accessi privilegiati (PAM) può rivelarsi la prima linea di difesa ideale per le aziende.
Ransomware attack. PAM360.
ManageEngine PAM360 è una soluzione PAM che difende le aziende dalla criminalità informatica. Permette una potente governance degli accessi privilegiati, automazione fluida del flusso di lavoro e analisi avanzate. PAM360 si integra facilmente con vari strumenti di sicurezza IT, come SIEM, analisi delle minacce basate su AI e ML e scanner di vulnerabilità. Consente agli amministratori di avere il controllo completo su tutte le attività privilegiate attraverso la rete aziendale. Prova subito la versione demo: https://www.manageengine.it/privileged-access-management/ e se hai bisogno di maggiori informazioni contatta gli specialisti di Bludis allo 0643230077 o invia una e-mail a sales@bludis.it