I ricercatori di Sophos hanno scoperto un triplo attacco ransomware contro un fornitore automotive. Si tratta di un evento mai accaduto finora, soprattutto perché tre distinti gruppi di cybercriminali (Lockbit, Hive e BlackCat) hanno sfruttato lo stesso punto di ingresso, ovvero un’errata configurazione del firewall che ha permesso l’accesso al server via RDP (Remote Desktop Protocol).
Tre attacchi ransomware in due settimane
I tre attacchi ransomware sono iniziati nel mese di maggio, ma l’accesso iniziale al server è stato ottenuto a dicembre 2021 da un IAB (Initial Access Broker) che ha scoperto la vulnerabilità e venduto l’accesso nel dark web o direttamente ad uno dei tre gruppi di cybercriminali. Lockbit ha sfruttato l’errata configurazione a metà aprile, copiando i dati sul servizio Mega, estraendo le password con il tool Mimikatz e quindi installando il ransomware con due script bash (1 maggio) tramite PsExec.
Due ore dopo, mentre Lockbit stava ancora cifrando i file, il gruppo Hive ha effettuato l’accesso via RDP e installato il suo ransomware con il software PDQ Deploy. Due settimane dopo, mentre il team IT dell’azienda automotive era impegnato nel ripristino del sistema, il gruppo BlackCat ha usato la stessa vulnerabilità RDP per installare il tool di accesso remoto Altera Agent e il suo ransomware.
In totale i file sono stati cifrati cinque volte: due volte da Lockbit e Hive perché i rispettivi ransomware erano in esecuzione contemporaneamente e una da BlackCat. Sophos consiglia innanzitutto di aggiornare sistema operativo e software. È necessario inoltre impedire l’accesso remoto via RDP o VNC, utilizzare l’autenticazione in due fattori e installare una soluzione di sicurezza.