I ransomware sono i maggiori pericoli per le aziende (ma anche per gli utenti privati). Prendendo come spunto un recente attacco, Microsoft ha illustrato in dettaglio le TTP (tattiche, tecniche e procedure) usate dai cybercriminali per eseguire una serie di operazioni che permettono l’installazione del ransomware. L’azienda di Redmond ha fornito inoltre alcuni consigli per rilevare e bloccare queste minacce.
TTP usate per distribuire i ransomware
Microsoft non ha individuato il “vettore di ingresso iniziale”, ma quasi certamente sono state utilizzate le credenziali di amministratore. Il passo successivo è mantenere la persistenza. I cybercriminali hanno utilizzato Cobalt Strike per creare servizi Windows che vengono eseguiti sul controller di dominio con privilegi elevati. È stato quindi installato OpenSSH e creata un’attività pianificata per la connessione SSH al server C2 (command and control).
Gli script di Impacket, PsExec e RDP (Remote Desktop Protocol) sono stati quindi sfruttati per effettuare il “movimento laterale”, ovvero scoprire i dispositivi collegati alla rete e distribuire il ransomware. Successivamente i cybercriminali hanno ottenuto le credenziali dell’amministratore del dominio con WDigest, mentre NTDSUtil è stato utilizzato per effettuare il dumping del database Active Directory.
Prima di applicare la crittografia, i file sono stati copiati in archivi 7-Zip e trasferiti al server remoto con PSCP (PuTTY Secure Copy). Per disattivare la rilevazione in tempo reale di Microsoft Defender Antivirus è stato usato un driver anti-rootkit di Avast. La tecnica BYOVD (Bring Your Own Vulnerable Driver) è piuttosto efficace perché i driver sono legittimi e non vengono bloccati dalle protezioni di sicurezza.
Microsoft consiglia di monitorare la creazione dei servizi, il trasferimento di file tramite SMB e l’uso di SSH, PsExec e NTDSUtil. Gli utenti dovrebbero inoltre usare un antivirus con funzionalità anti-manomissione e attivare l’autenticazione multi-fattore.