Abbiamo già spiegato come, grazie alla diffusione di una corretta awareness le classiche tecniche di phishing stanno perdendo di efficacia, e di come gli insider threats (d’ora in avanti insiders) stiano diventando sempre più diffusi, soffermandoci sulle classiche truffe alla nigeriana, ma esiste un'altra via per generare degli insiders. 

Questa volta il protagonista è il ransomware Lockbit 2.0 quello che ha messo in ginocchio la regione Lazio e responsabile di un riscatto da 50 milioni contro il gigante Accenture. 

In linea fondamentale l’approccio è sempre lo stesso: un’offerta di denaro in criptovaluta in cambio di credenziali d’accesso all’infrastruttura, quello che cambia è il come. 

Come Lockbit si assicura delle credenziali di buona qualità 

Come prima cosa si guadagna l‘accesso ad un computer dell’infrastruttura aziendale, imposta un wallpaper nuovo fiammante che riporta la scritta: 

#### 

vuoi guadagnare milioni di euro? La nostra compagnia raccoglie accessi alle reti di varie aziende, così come informazioni interne che possono aiutare a rubare i dati più preziosi di qualunque azienda. 

Puoi fornirci qualsiasi tipo di dato utile a garantire un accesso come_: login password di VPN, RDP, mail aziendali, ecc… Apri la nostra mail e lancia il virus su qualsiasi computer nella tua azienda. 

Le compagnie ci pagano per la decrittazione dei loro dati e la prevenzione di fughe di informazioni puoi comunicare con noi attraverso Tox messenger 

[URL rimosso] 

Usando tox messenger nessuno sarà a conoscenza della tua identità, questo implica che la tua privacy è garantita.  

Se vuoi contattarci usa il ToxID:[ID rimosso] 

##### 

Un momento ma…. Se già hanno compromesso l’azienda cosa serve questa comunicazione? 

Il messaggio molto probabilmente è rivolto a chi si sta occupando della incident response che verosimilmente sarà in possesso di credenziali di tipo amministrativo e, forse, più di un computer. Questo tipo di approccio garantisce che, in caso di successo, gli attaccanti non si trovino in mano con delle utenze con privilegi limitati e un complice non proprio informatizzato. 

Attività recenti riguardanti gli insiders 

Contattare “gli addetti ai lavori” permette anche di scavalcare le difficoltà date dallo spiegare come stabilire un contatto criptato e riduce le possibilità di fare passi falsi. Durante agosto 2020 l’FBI ha arrestato un cittadino russo per aver tentato di invitare un dipendente Tesla, dietro il pagamento di un milione di dollari in bitcoin, ad installare un ransomware nei server Tesla; questo tentativo di corruzione è costato all’attaccante ben 250.000 euro di multa e 5 anni di prigione con l'accusa di cospirazione al danneggiamento di computer protetto. 

L’FBI stessa è stata vittima di un'esfiltrazione di dati, riguardanti procedure e mezzi usati per combattere il terrorismo, da un suo dipendente. Questo dimostra come non siano solo i ransomware il problema ma in generale qualsiasi tipo di esfiltrazione di dati riservati. Pensate che Google a sua volta ha ammesso di aver licenziato diversi dipendenti fra il 2018 e il 2020 per aver ficcanasato in dati che non li riguardavano. 

La strategia di Lockbit 2.0 può sembrare lontana dal potersi avverare ma, esattamente come le mail di phishing, sono i grandi numeri a generale il problema; le promesse di pagamento sono allettanti e basta un solo dipendente a fare dei danni seri, peggio se si tratta di un dipendente esterno fornitore di servizi di sicurezza per diverse compagnie. La convinzione che un attacco sia già avvenuto e sia in corso rende la professione del Threat Hunter di estrema importanza, vieni a conoscerla cliccando sul link! 

Tweet