Un attore di minacce straniero ha come obiettivo una struttura di gestione idrica in Europa responsabile della distribuzione dell'acqua a circa un milione di persone. Inizialmente, la struttura presuppone che la nuova attività sia legittima. Gli aggressori riescono a compromettere i server e a implementare misure anti-forensics basate su ransomware.
La sfide alla sicurezza
- Una posizione vulnerabile, quale infrastruttura critica responsabile della distribuzione idrica regionale
- Assenza di funzionalità di rilevamento e ricerca di minacce fileless e movimenti laterali
- Carenza di protezione da ransomware
- Risorse limitate assegnate alla sicurezza degli endpoint
I siti di infrastrutture critiche devono costantemente adattarsi, per gestire la crescente complessità dei rischi informatici e la sempre più elevata esposizione a sofisticati attori di minacce. Il tipo di risorse gestite rende l'infrastruttura critica un obiettivo ideale per attacchi ad alto impatto e per l'esfiltrazione di dati altamente sensibili.
Oltre agli strumenti tradizionali di analisi della rete, la società di fornitura idrica non disponeva di alcun tipo di monitoraggio degli endpoint, né di funzionalità di risposta in caso di attacco. Gli strumenti in suo possesso non consentivano il tracciamento delle operazioni cross-endpoint quali i movimenti laterali. In più, la carenza generalizzata di risorse IT aveva costretto l’operatore a ingaggiare fornitori esterni per la gestione di servizi essenziali quali e-mail, DNS, VPN e firewall, determinando una maggiore complessità per l'esigenza di coordinamento di diversi fornitori.
secondi
Ha pulito il segmento di rete infetto in pochi secondi, evitando danni che avrebbero potuto bloccare i servizi essenziali per i cittadini
2 giorni
L'incidente è stato chiuso con successo entro 2 giorni senza perdita di dati, interruzione dei servizi essenziali o danni agli endpoint
L'attacco aveva coinvolto una dozzina di dispositivi prima della fase di distribuzione del ransomware e, successivamente, diverse migliaia.
Panoramica della soluzione:
- IBM® Security QRadar EDR utilizza NanoOS, studiato per essere non rilevabile e fornire un livello eccezionale di visibilità su endpoint e infrastruttura
- Traccia in modo nativo i movimenti laterali e i tentativi anomali di login
- Offre protezione nativa dagli attacchi ransomware
- Fornisce una potente interfaccia di ricerca delle minacce, che consente il tracciamento e la ricostruzione di incidenti molto complessi
L'impianto di gestione idrica utilizzava il software IBM Security QRadar EDR su tutti i server, desktop e laptop in uso per monitorare continuamente ogni risorsa e tracciare e indagare tempestivamente su potenziali violazioni della sicurezza. Utilizzando i doppi motori AI integrati nella soluzione e un'analisi comportamentale dettagliata, il cliente ha ottenuto una visibilità completa sull'infrastruttura, consentendo query in tempo reale agli endpoint e ricerche estese sia per gli indicatori di compromissione (IOC) che per gli indicatori di comportamento (IOB), insieme al mining dei dati avanzato per scoprire le minacce dormienti.
Sei mesi dopo l’implementazione, l’agent ha rilevato un’attività anomala iniziale e ha tracciato gli aggressori nel tentativo di accesso a uno specifico set di dati. Il tradizionale software antivirus e il sistema di rilevazione delle intrusioni (IDS) del cliente non hanno rilevato alcuna attività fino all'ultima fase dell'attacco. Se il cliente non avesse implementato QRadar EDR, gli aggressori sarebbero riusciti ad acquisire ed esfiltrare i dati.
Attacco alla supply chain
Il giorno della violazione iniziale, QRadar EDR ha segnalato un login sospetto da un server VPN verso un endpoint presente nel segmento di rete senza privilegi. Il team della sicurezza supponeva che l'accesso fosse dovuto al lavoro di manutenzione da parte di un fornitore di sicurezza esterno e quindi ha assegnato una bassa priorità all'incidente. Inizialmente gli aggressori sono riusciti a distribuire del malware, utilizzato principalmente per mappare il segmento di rete alla ricerca di percorsi diretti verso la rete privilegiata. Non avendo trovato tali percorsi disponibili, hanno distribuito un secondo malware in memoria per raccogliere le credenziali da riutilizzare nei successivi movimenti laterali. Con le credenziali ottenute, gli aggressori sono passati al controller di dominio e subito dopo a un file server contenente documenti interni.
Analisi dell'origine del problema
L'accesso anomalo iniziale è avvenuto al di fuori dell'orario di lavoro, da un endpoint che di solito interagisce con i server ma non con le workstation. Il canale VPN era gestito da un fornitore esterno che si occupava anche della manutenzione del server di posta e dei firewall, oltre che della VPN stessa. Data la tipologia di accesso, l’allerta è stata mantenuta attiva per poter tracciare tutte le operazioni, ma, a quel punto, la squadra di sicurezza interna ha assegnato bassa priorità all’evento, supponendo che il fornitore stesse eseguendo della manutenzione sull’infrastruttura.
Il giorno dopo, QRadar EDR ha generato un secondo avviso, che mostrava l'attività di un malware leggero utilizzato per scansionare la rete interna, subito seguito da un altro avviso che segnalava la presenza di un vettore in memoria con funzioni di key logging e raccolta di credenziali. A quel punto, la squadra di sicurezza si è concentrata su questi eventi, avviando una sessione di ricerca minacce, mentre gli aggressori sono riusciti, attraverso una serie di movimenti laterali, ad accedere a uno dei controller di dominio. Il team ha deciso di sfruttare l’invisibilità della tecnologia NanoOS per continuare a tracciare gli aggressori per il maggior tempo possibile, al fine di comprenderne il modus operandi e gli obiettivi.
Quando gli aggressori hanno tentato di raggiungere il file server contenente dati sensibili, il team ha deciso di bloccarli e di avviare il piano di eliminazione. Durante la riparazione dei vari dispositivi, gli aggressori si sono resi conto che, nonostante l'elevato livello di accesso, non riuscivano ad accedere alle informazioni che cercavano. Immaginando di essere stati smascherati, hanno distribuito un ransomware sull’intera infrastruttura per occultare le proprie tracce.
Attacco e ricostruzione
Una volta chiarite le motivazioni, l'operatore doveva comprendere l'intero attacco per rafforzare i punti deboli dell'infrastruttura. L’attacco aveva coinvolto una dozzina di dispositivi prima della fase di distribuzione del ransomware (fase 1) e, successivamente, diverse migliaia (fase 2).
Gli aggressori erano riusciti a ottenere l’accesso al provider della VPN e del server di posta, utilizzandolo come punto di ingresso verso la rete interna. Gli aggressori hanno riutilizzato le credenziali del provider per spostarsi su macchine diverse, stabilendosi infine su una workstation specifica. A quel punto, hanno sfruttato una catena di strumenti per eseguire la scansione della rete interna e identificare gli obiettivi dei movimenti laterali. Nella fase finale, hanno utilizzato il controller di dominio stesso per diffondere il ransomware su tutti i dispositivi.
Il cliente ha automatizzato il processo di pulizia utilizzando il modulo di correzione di QRadar EDR e ha impiegato la protezione anti-ransomware della soluzione per prevenire la perdita di dati e l'interruzione delle operazioni.
La struttura di gestione idrica ha assicurato l'accesso VPN e ha condotto una sessione di caccia alle minacce che ha identificato ogni macchina a cui gli aggressori sono riusciti ad accedere. Il modulo correttivo di QRadar EDR ha automatizzato la procedura di ripulitura, e il segmento è stato ripulito in pochi secondi. La struttura ha ottenuto tutti gli strumenti utilizzati durante la fase di riconoscimento e movimento laterale e ha immediatamente propagato nell’intera infrastruttura una politica comprendente IOC e comportamenti. Dopo l'implementazione della politica, non è stato identificato alcun ulteriore host compromesso. Sono state immediatamente reimpostate le credenziali di tutti gli utenti e in seguito all'attacco ransomware non sono stati necessari ulteriori interventi, in quanto il cliente ha abilitato la protezione anti-ransomware QRadar EDR per tutti i dispositivi, impedendo la perdita di informazioni importanti e l'interruzione delle normali attività.
La struttura ha chiuso con successo l'incidente il secondo giorno, senza alcuna perdita di dati, interruzione di servizi essenziali o danno agli endpoint.
Se la struttura non avesse utilizzato QRadar EDR, gli aggressori avrebbero sicuramente esfiltrato informazioni sensibili e sarebbero rimasti attivi per un periodo prolungato, e l’intera infrastruttura sarebbe alla fine stata disabilitata dall’attacco ransomware finale. Un attacco del genere avrebbe avuto un impatto enorme sulla capacità della struttura di continuare a fornire ai cittadini della regione servizi essenziali, potenzialmente bloccandoli del tutto. A causa della difficoltà di identificazione degli attacchi alla supply chain, la struttura avrebbe potuto essere stata nuovamente violata tramite lo stesso canale se non fossero state disponibili informazioni forensi per individuare con precisione la causa principale della violazione.
Legale
© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Prodotto negli Stati Uniti d'America, giugno 2023
IBM e il logo IBM, IBM Security e QRadar sono marchi o marchi registrati di International Business Machines Corporation negli Stati Uniti e/o in altri Paesi. Altri nomi di prodotti e servizi potrebbero essere marchi di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile su ibm.com/trademark.
Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Tutti gli esempi citati relativi a clienti sono presentati per illustrare il modo in cui alcuni clienti hanno utilizzato i prodotti IBM e i risultati da essi eventualmente conseguiti. I costi effettivi relativi agli ambienti e le caratteristiche inerenti alle performance possono variare a seconda delle specifiche configurazioni e condizioni del cliente. In generale non è possibile fornire risultati attesi, poiché i risultati di ciascun cliente dipendono interamente dai sistemi e dai servizi ordinati. LE INFORMAZIONI FORNITE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ PER UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.
Dichiarazione di conformità alle procedure di sicurezza: nessun sistema o prodotto informatico può essere considerato completamente sicuro e nessun singolo prodotto, servizio o misura di sicurezza può essere completamente efficace nel prevenire l'uso o l'accesso improprio. IBM non garantisce che i sistemi, i prodotti o i servizi siano immuni da, o renderanno la vostra azienda immune da, comportamenti dolosi o illegali di qualsiasi parte.