- Associazione
Di recente è stato identificato un sofisticato attacco informatico che sfrutta INC, un ransomware in modalità RaaS (Ransomware-as-a-Service), emerso per la prima volta nel luglio 2023. Questo malware ha già colpito diverse organizzazioni italiane, evidenziando ancora una volta quanto sia fondamentale una strategia di cybersecurity efficace.
Gli attacchi condotti tramite INC iniziano generalmente con un accesso non autorizzato ai sistemi aziendali. I criminali informatici riescono a penetrare le difese sfruttando principalmente due modalità:
- Brute force su interfacce esposte online: quando i sistemi di gestione sono accessibili da Internet senza una protezione adeguata, come l’autenticazione a più fattori (MFA), diventa possibile per gli hacker forzare le credenziali e accedere agli account amministrativi.
- Sfruttamento di vulnerabilità note: gli attaccanti approfittano di falle di sicurezza presenti in dispositivi non aggiornati, in particolare nelle soluzioni di sicurezza perimetrale, ottenendo accesso ai sistemi senza attivare allarmi.
Una volta compromesso l’ambiente, gli attaccanti esfiltrano dati sensibili, tra cui configurazioni dei sistemi IAM (Identity and Access Management) contenenti credenziali valide. Queste informazioni vengono poi utilizzate per muoversi lateralmente nella rete aziendale e diffondere il ransomware su altri dispositivi. Le tecniche principali di accesso iniziale includono:
1. Password spraying tramite botnet
Gli hacker utilizzano una rete di dispositivi compromessi per eseguire tentativi di accesso simultanei con credenziali comuni su più account. La distribuzione dei tentativi su macchine diverse rende difficile il rilevamento da parte dei sistemi di sicurezza.
2. Exploit di vulnerabilità su sistemi non aggiornati
In presenza di software non aggiornato, gli attaccanti possono sfruttare vulnerabilità note per aggirare le misure di autenticazione ed entrare nei sistemi aziendali senza destare sospetti. D
Dopo aver ottenuto accesso a una macchina Windows, gli attaccanti eseguono una ricognizione della rete locale utilizzando strumenti come Advanced IP Scanner per identificare i dispositivi attivi e i relativi indirizzi IP. Successivamente, attraverso il tool Impacket SMBExec, eseguono comandi da remoto sfruttando il protocollo SMB, spesso su sistemi non adeguatamente protetti.
Una volta mappata l’intera rete e identificate le risorse più sensibili, i cybercriminali avviano la cifratura dei dati tramite ransomware, colpendo in modo mirato i sistemi critici per l’operatività aziendale.
Per contrastare minacce complesse come il ransomware INC, Skybackbone Engenio, player modenese di riferimento nel settore della consulenza per il Cloud Computing e la Cybersecurity, mette a disposizione un portafoglio completo di soluzioni di cybersecurity, progettate per prevenire, rilevare e rispondere tempestivamente agli attacchi informatici.
- eMalware: un servizio avanzato di protezione anti-ransomware che impiega tecnologie intelligenti per identificare e bloccare comportamenti sospetti, come tentativi di crittografia dei file o l’uso anomalo delle risorse di sistema.
- eSOC (Security Operation Center): monitora costantemente gli ambienti IT, rilevando minacce in tempo reale e intervenendo con azioni mirate grazie a una strategia condivisa con il cliente.
- RBaaS (Remote Backup as a Service): backup off-site in cloud, con protezione anti-ransomware e tecnologia di immutabilità, che garantisce l’integrità dei dati anche in caso di compromissione.
- DRaaS (Disaster Recovery as a Service): un servizio che assicura la continuità operativa ripristinando rapidamente i sistemi IT in un data center europeo, riducendo al minimo i tempi di inattività.
- eREACT: un servizio di patch management che protegge l’azienda da vulnerabilità, mantenendo i sistemi aggiornati all’ultima versione rilasciata, in linea con gli ultimi requisiti di sicurezza.
“eReact è un servizio automatizzato, che elimina la necessità di interventi manuali, riducendo il margine di errore; flessibile, perchè consente di pianificare gli aggiornamenti nei momenti più opportuni per il business; personalizzabile, visto che si adatta alle specifiche esigenze operative di ogni azienda. Un esempio? Per aziende operative nei giorni feriali, gli aggiornamenti possono essere programmati nei fine settimana. Al contrario, per realtà attive nel weekend, gli aggiornamenti vengono eseguiti nei giorni feriali. Questa configurabilità ottimizza i tempi di inattività, garantendo sempre continuità operativa”, spiegano da Skybackbone Engenio.
Oggi più che mai, investire nella sicurezza informatica significa proteggere il futuro della propria azienda. La cybersecurity non può più essere considerata una spesa accessoria, ma un pilastro fondamentale per garantire resilienza e continuità operativa.
“Con Skybackbone Engenio puoi contare su un team di esperti e su una suite completa di soluzioni su misura, pensate per identificare le vulnerabilità e costruire una strategia di difesa proattiva ed efficace. Non aspettare che sia troppo tardi. Contattaci per una valutazione della tua attuale postura di sicurezza: analizzeremo i rischi, identificheremo i punti deboli e ti guideremo nella costruzione di una difesa su misura”, concludono dall'azienda modenese.
Per informazioni è possibile contattare Skybackbone Engenio a questo link
