Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

CISA, NSA ed FBI emettono un avviso su BlackMatter ransomware. Scopri come mitigare la minaccia.

Redazione RHC : 19 Ottobre 2021 08:32

La Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI) e la National Security Agency (NSA), hanno emesso un avviso fornendo informazioni sul ransomware BlackMatter.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Da luglio 2021, il ransomware BlackMatter ha preso di mira diverse entità di infrastrutture critiche statunitensi, tra cui due organizzazioni del settore alimentare e agricolo degli Stati Uniti.

Questo advisory fornisce informazioni su tattiche, tecniche e procedure (TTP) degli attori informatici ottenute da un campione di ransomware BlackMatter, analizzato in un ambiente sandbox e da segnalazioni di terze parti attendibili.

Utilizzando credenziali incorporate e precedentemente compromesse, BlackMatter sfrutta il protocollo LDAP (Lightweight Directory Access Protocol) e il protocollo Server Message Block (SMB) per accedere ad Active Directory (AD) e scoprire tutti gli host sulla rete.

La cyber-gang a questo punto crittografa in remoto gli host e le unità condivise non appena vengono rilevati.

Gli attacchi ransomware contro entità di infrastrutture critiche potrebbero influenzare direttamente l’accesso dei consumatori ai servizi delle infrastrutture critiche; pertanto, CISA, FBI e NSA sollecitano tutte le organizzazioni, comprese le organizzazioni di infrastrutture critiche, ad attuare le raccomandazioni elencate nella sezione Mitigazioni di questo avviso congiunto. Queste mitigazioni aiuteranno le organizzazioni a ridurre il rischio di compromissione dagli attacchi ransomware BlackMatter.

Mitigazioni

CISA, FBI e NSA esortano le organizzazioni di infrastrutture critiche, ad applicare le seguenti mitigazioni per ridurre il rischio di compromissione da parte del ransomware BlackMatter:

Implementare le firme di rilevamento:

  • Implementare le firme di rilevamento. Queste firme identificheranno e bloccheranno il posizionamento della richiesta di riscatto sulla prima condivisione crittografata, bloccando successivamente il traffico SMB aggiuntivo dal sistema di crittografia per 24 ore.

    • Usa password complesse:

    • Richiedi a tutti gli account con password di accesso (ad es. account di servizio, account amministratore e account amministratore di dominio) di disporre di password complesse e univoche. Le password non devono essere riutilizzate su più account o archiviate nel sistema a cui potrebbe avere accesso un avversario. Nota: i dispositivi con account amministrativi locali dovrebbero implementare una politica delle password che richiede password complesse e univoche per ogni singolo account amministrativo.

      • Implementa l’autenticazione a più fattori:

      • Implementare per quanto possibile l’autenticazione a più fattori per tutti i servizi, in particolare per la webmail, le reti private virtuali e gli account che accedono a sistemi critici.

        • Sistemi di patch e aggiornamento:

        • Mantieni aggiornati tutti i sistemi operativi e il software. L‘applicazione tempestiva di patch è uno dei passaggi più efficienti ed economici che un’organizzazione può intraprendere per ridurre al minimo la propria esposizione alle minacce alla sicurezza informatica.

          • Limitare l’accesso alle risorse in rete:

          • Rimuovere l’accesso non necessario alle condivisioni amministrative, in particolare ADMIN$e C$. Se ADMIN$e C$ sono ritenuti necessari dal punto di vista operativo, limitare i privilegi solo al servizio o agli account utente necessari ed eseguire un monitoraggio continuo per attività anomale.
          • Utilizzare un firewall interno al server per consentire solo le connessioni alle condivisioni amministrative tramite SMB da un insieme limitato di computer dell’amministratore.

          Implementare la segmentazione della rete e il monitoraggio trasversale

          Gli avversari utilizzano tecniche di rilevamento del sistema e della rete per la visibilità e la mappatura della rete e del sistema. Per impedire a un avversario di apprendere l’ambiente aziendale dell’organizzazione, limitare le tecniche comuni di rilevamento del sistema e della rete eseguendo le seguenti azioni.

          • Segmenta le reti per prevenire la diffusione del ransomware. La segmentazione della rete può aiutare a prevenire la diffusione del ransomware controllando i flussi di traffico tra e l’accesso a varie sotto-reti e limitando il movimento laterale dell’avversario.
          • Identifica, rileva e indaga su attività anomale e potenziali attraversamenti del ransomware indicato con uno strumento di monitoraggio della rete. Per aiutare a rilevare il ransomware, implementare uno strumento che registra e segnala tutto il traffico di rete, inclusa l’attività di movimento laterale dell’avversario in rete. Gli strumenti di rilevamento e risposta degli endpoint (EDR) sono particolarmente utili per rilevare le connessioni laterali in quanto consentono di comprendere le connessioni di rete comuni e non comuni per ciascun host.

          Utilizzare gli strumenti di disabilitazione dell’amministratore per supportare la gestione dell’identità e degli accessi privilegiati

          Se BlackMatter utilizza credenziali compromesse durante le ore non lavorative, la compromissione potrebbe non essere rilevata. Dato che è stato osservato un aumento degli attacchi ransomware durante le ore non lavorative, in particolare nei giorni festivi e nei fine settimana, CISA, FBI e NSA raccomandano alle organizzazioni:

          • Implementa l’accesso basato sul tempo per gli account impostati a livello di amministratore e superiori. Ad esempio, il metodo di accesso Just-in-Time (JIT) fornisce l’accesso privilegiato quando necessario e può supportare l’applicazione del principio del privilegio minimo (oltre al modello Zero Trust). Questo è un processo in cui viene impostato un criterio a livello di rete per disabilitare automaticamente gli account amministratore a livello di AD quando l’account non è direttamente necessario. Quando l’account è necessario, i singoli utenti inviano le loro richieste attraverso un processo automatizzato che consente l’accesso a un sistema, ma solo per un periodo di tempo prestabilito per supportare il completamento dell’attività.
          • Disabilita la riga di comando e le attività e le autorizzazioni di scripting. L‘escalation dei privilegi e lo spostamento laterale spesso dipendono da utilità software che vengono eseguite dalla riga di comando. Se gli attori delle minacce non sono in grado di eseguire questi strumenti, avranno difficoltà ad aumentare i privilegi e/o a spostarsi lateralmente.

          Implementare e applicare politiche e procedure di backup e ripristino:

          • Esegui backup offline dei dati e mantieni regolarmente backup e ripristino degli stessi. Questa pratica assicurerà che l’organizzazione non venga gravemente interrotta, che disponga di dati irrecuperabili o che venga tenuta in ostaggio da una richiesta di riscatto.
          • Assicurati che tutti i dati di backup siano crittografati, immutabili (ovvero non possano essere modificati o eliminati) e che coprano l’intera infrastruttura dei dati dell’organizzazione.

          CISA, FBI e NSA sollecitano le organizzazioni di infrastrutture critiche ad applicare le seguenti misure di mitigazione aggiuntive per ridurre il rischio di compromissione delle credenziali.

          • Disabilita l’archiviazione di password in chiaro nella memoria LSASS.
          • Considerare la possibilità di disabilitare o limitare New Technology Local Area Network Manager (NTLM) e autenticazione WDigest.
          • Implementare Credential Guard per Windows 10 e Server 2016 (fare riferimento a Microsoft: gestire Windows Defender Credential Guard per ulteriori informazioni). Per Windows Server 2012R2, abilitare Protected Process Light per l’autorità di sicurezza locale (LSA).
          • Riduci al minimo la superficie di attacco AD per ridurre l’attività dannosa di concessione dei ticket di autenticazione. Attività dannose come “Kerberoasting” sfruttano il servizio Ticket Granting di Kerberos e possono essere utilizzate per ottenere credenziali con hash che gli aggressori tentano di violare.
          • Impostare una forte politica di password per gli account di servizio.
          • Controlla i controller di dominio per registrare le richieste di Kerberos Ticket-Granting Service e garantire che gli eventi vengano monitorati per attività anomale.

          Fare riferimento alla Guida comune al ransomware CISA-Multi-State Information and Sharing Center (MS-ISAC) per le mitigazioni generali per prepararsi e ridurre il rischio di compromissione da attacchi ransomware.

          Nota: le organizzazioni di infrastrutture critiche con sistemi di controllo industriale/reti tecnologiche operative dovrebbero esaminare l’ avviso sulla sicurezza informatica congiunto CISA-FBI AA21-131A: DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks per ulteriori mitigazioni, incluse mitigazioni per ridurre il rischio e il degrado funzionale qualora l’organizzazione risulti vittima di un attacco ransomware.

          Fonte

          https://us-cert.cisa.gov/ncas/alerts/aa21-291a

          https://www.redhotcyber.com/wp-content/uploads/attachments/Joint-CISA-FBI-NSA_CSA_AA21-291A_BlackMatter_Ransomware.pdf

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

GPU sotto sorveglianza! l’America vuole sapere dove finiscono le sue GPU e soprattutto se sono in Cina

Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...

Qilin domina le classifiche del Ransomware! 72 vittime solo nel mese di aprile 2025!

Il gruppo Qilin, da noi intervistato qualche tempo fa, è in cima alla lista degli operatori di ransomware più attivi nell’aprile 2025, pubblicando i dettagli di 72 vittime sul suo sit...

Play Ransomware sfrutta 0-Day in Windows: attacco silenzioso prima della patch di aprile 2025

Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...

Allarme AgID: truffe SPID con siti altamente attendibili mettono in pericolo i cittadini

È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...

Nessuna riga di codice! Darcula inonda il mondo con il Phishing rubando 884.000 carte di credito

Nel mondo del cybercrime organizzato, Darcula rappresenta un salto di paradigma. Non stiamo parlando di un semplice kit di phishing o di una botnet mal gestita. Darcula è una piattaforma vera e p...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006