Secondo l’Agenzia per la Cybersicurezza Nazionale (ACN), si è segnalata la distribuzione del malware INC, nota minaccia Ransomware-as-a-Service (RaaS) che è emersa intorno a Luglio 2023. La minaccia ha colpito delle organizzazioni operanti sul territorio nazionale e per questo si sono definite delle contromisure.
Il valore della minaccia
Nel novero delle minacce all’interno del panorama nazionale l’Agenzia per la Cybersicurezza Nazionale (ACN) ha posto l’accento sul malware INC, nota minaccia Ransomware-as-a-Service (RaaS). A livello di danni si è riscontrato come ad essere colpite siano state diverse organizzazioni operanti sul territorio.
L’accesso iniziale avviene tipicamente a seguito di attività di bruteforcing o attacco di forza bruta con l’invio di molte password da parte del criminale cyber per arrivare alla chiave corretta. Questo può avvenire qualora si utilizzino le interfacce di gestione sul WEB senza l’utilizzo dell’autenticazione a più fattori (MFA), mancando dunque più livelli di identificazione.
Qualora l’attaccante riuscisse effettivamente ad entrare nel sistema ci sarebbe la possibilità di estrarre, dopo le password, le altre credenziali. E da qui, favorire la ruberia di dati e informazioni (anche sensibili), creando di fatto una cesura nella catena del valore.
Direttrici
Al netto della specificità del Ransomware-as-a-Service (RaaS), su questo tema gli analisti e gli esperti stanno dibattendo molto. Non fosse altro che in un contesto di conflitti e confronti ibridi, dalla materialità della vulnerabilità è possibile avere dati e informazioni da vendere (sul dark web) o per chiedere dei riscatti.
Ottenuto l’accesso al firewall (con password spraying tramite botnet o sfruttamento di vulnerabilità note) l’attaccante ha quindi la possibilità di analizzare la configurazione del dispositivo. Il suo fine, proprio quello di carpire informazioni sensibili, quali credenziali o altri dati memorizzati nel sistema.
Contromisure
Su questi presupposti, l’ACN ha promosso delle azioni specifiche di risposta agli incidenti. Nel primo caso, si è insistito sull’installazione di protocolli sicuri, sul monitoraggio. Inoltre si è suggerito di mantenere i dispositivi perimetrali costantemente aggiornati. E insieme, di non esporre i dispositivi e le relative interfacce di controllo direttamente sulla rete Internet.
Un’altra misura sarebbe quella di contingentare il raggiungimento delle risorse. Questo, permettendo l’accesso all’interno di una rete (magari sensibile), unicamente agli amministratori di sistema.
Sulla mitigazione, all’interno dell’elenco hanno figurato l’importanza di collezionare eventuali evidenze, quali processi e servizi in esecuzione su dispositivi target. Insieme al porre in isolamento e/o offline gli host potenzialmente interessati dalla compromissione, si possono ripristinare gli host compromessi.
