- Servizi
- Terziario
Bisogno
Supporto per migliorare e testare un software sviluppato da Turtle.
L'azienda
L’azienda bersaglio dell’attacco ha diverse sedi operative e un’infrastruttura IT articolata tra server fisici e virtuali, e rappresenta una realtà strategica nel settore dei servizi di consulenza, con un’elevata esposizione al rischio cyber dovuta alla complessità dei sistemi e alla mole di dati gestiti quotidianamente.
Nel 2024, si è trovata improvvisamente paralizzata da un attacco informatico.
La sfida
L’attacco ha reso completamente indisponibile l’infrastruttura IT: i dischi di tutte le macchine, fisiche e virtuali, erano stati cifrati e i repository di backup locali eliminati.
I criminali informatici avevano anche modificato le credenziali amministrative e cancellato i log di sistema per ostacolare l’analisi forense. L’attacco è stato ricondotto all’utilizzo di credenziali utente non correttamente gestite e diffuse sul dark web, sfruttate per accedere alla rete interna tramite VPN.
La soluzione
Il team cybersecurity di Dilaxia è intervenuto tempestivamente, riuscendo a ripristinare l’infrastruttura virtuale grazie a snapshot di storage predisposte in precedenza. I server fisici, invece, sono stati ripristinati tramite backup su cloud Microsoft Azure.
Come si sono svolte le operazioni di analisi?
La consultazione delle cartelle contenenti i file cifrati ha evidenziato la presenza di file di testo indicanti le richieste dei cybercriminali. Dalla richiesta si è potuto risalire all’identità dell’organizzazione criminale alla quale attribuire la responsabilità dell’attacco e aprire una falsa trattativa per guadagnare tempo.
Una delle principali debolezze individuate è stata la presenza di password dei sistemi conservate inopportunamente su cartelle di rete e in modo non protetto.
Tuttavia, per poter utilizzare e individuare tali password, conservate comunque all’interno della rete aziendale, è stato fondamentale avere accesso alla rete del cliente, e ciò è stato possibile mediante sfruttamento di credenziali VPN presenti sul dark web, confermate dall’analisi di threat intelligence eseguita dai nostri analisti. Nonostante la distruzione volontaria, da parte dei cybercriminali, dei log di alcuni apparati, siamo comunque risaliti alla cronistoria degli avvenimenti per arrivare a determinare quali aree risultassero ancora compromesse e/o a rischio, e quali fossero invece gli ambiti e le reti da considerarsi sicuri.
Le principali operazioni di remediation implementate dall’Incident Responce Team sono state:
- Distribuzione agenti EDR (Endpoint Detection & Response) per controllo e analisi di tutti i dispositivi in rete;
- Supporto organizzativo/sistemistico per determinare la strategia ottimale di intervento sui sistemi definendo l’ordine di ripristino dei sistemi, dai più critici e strategici ai meno essenziali per le attività non core;
- Supporto legale per determinare la migliore strategia di conservazione delle evidenze e attivazione di un canale di comunicazione con i criminali per ottenere maggiori informazioni possibili, utili per ricostruire gli eventi, e ritardare il più possibile una eventuale pubblicazione di dati esfiltrati;
- Ripristino dei sistemi disponibili da storage snapshote da backup cloud risultati non coinvolti nell’evento;
- Sostituzione delle credenziali amministrative sui sistemi, protezione delle connessioni VPN, attraverso l’introduzione della Multi-Factor Authentication.
Grazie al supporto multidisciplinare di Dilaxia l’azienda è riuscita a ripristinare la propria attività in tempi adeguati mitigando l’impatto sull’operatività aziendale.
Lasciaci i tuoi contatti, il nostro reparto commerciale ti scriverà appena possibile.