Ghost hack: quando i criminali utilizzano l’account di un dipendente deceduto per creare scompiglio

Le nuove minacceSophos Rapid Response
Ghost Hack

Quasi tutte le organizzazioni vi diranno che hanno processi e procedure ben definiti per la gestione dei dipendenti che lasciano l’azienda.

In particolare, la maggior parte delle aziende dispone di una procedura semplice e rapida per rimuovere l’ex personale dal libro paga.

Sfortunatamente, le procedure non si rivelano così efficaci e tempestive se si parla di sicurezza informatica.

La cronaca è piena di storie devastanti causate da ex dipendenti che hanno mantenuto sia i loro rancori che le loro password o token di accesso dopo essere stati o essersi licenziati.

Alcuni di questi attacchi sono diventati vere e proprie leggende, come quello dell’uomo Maroochydore nel Queensland, in Australia, che ha utilizzato informazioni privilegiate e un computer rubato per “hackerare” il sistema di gestione dei rifiuti del consiglio.

Questo imbroglione ha letteralmente inondato la contea con 1.000.000 di litri di liquame grezzo, azionando tutte le pompe giuste in tutti i modi sbagliati.

Per quanto divertente possa sembrare questo crimine, avvenuto 11 anni fa, l’ex appaltatore scontento ha causato un pericolo ambientale, compreso l’inquinamento di un canale di marea, che ha richiesto giorni per essere ripulito.

È stato catturato, processato e condannato per 27 capi di imputazione, dall’accesso non autorizzato al computer a gravi danni ambientali intenzionali e illegali:

“La vita marina è morta, l’acqua del torrente è diventata nera e il fetore era insopportabile per i residenti”, ha detto Janelle Bryant, responsabile delle indagini dell’Australian Environmental Protection Agency.

Nel 2019, un ex amministratore di sistema di un senatore degli Stati Uniti è stato processato per aver rubato e rivelato – fenomeno noto nel settore come “doxxing” – i dati personali riservati di diversi membri del Congresso degli Stati Uniti.

Ironia della sorte, l’autore del reato in questo caso ha chiuso i suoi account di accesso quando è stato licenziato, ma è stato comunque in grado di ottenere l’accesso fisico al suo ex posto di lavoro per installare keylogger e copiare gigabyte di file riservati.

In poche parole, ci sono molte cose che possono andare storte se i tuoi processi di sicurezza informatica non gestiscono in modo affidabile e rapido l’interruzione dell’accesso del personale che non lavora più per te.

Host in the machine

Purtroppo non si tratta sempre di ex membri del personale o addetti ai lavori disonesti i cui account finiscono per essere abusati.

Il team di Sophos Rapid Response ha appena riportato un recente caso di studio di un attacco alla rete che ha coinvolto l’account di un amministratore di sistema morto tre mesi prima.

L’account del dipendente non è stato chiuso perché vari servizi interni erano stati configurati per usarlo, presumibilmente perché il defunto era stato coinvolto fin dall’inizio nel processo di creazione di quei servizi.

La chiusura dell’account, presumiamo, avrebbe interrotto il funzionamento di tali servizi, quindi mantenere l’account in corso è stato probabilmente il modo più conveniente per continuare a far vivere il lavoro della persona morta.

In effetti, si tratta di un monumento commemorativo piuttosto carino; un modo per onorare il lavoro dell’amministratore di sistema defunto oltre a garantire la continuità aziendale in una parte del sistema che già funzionava correttamente.

Sfortunatamente, dato che la persona morta non stava accedendo e non stava più utilizzando attivamente l’account, nessuno era lì per accorgersi che esso non veniva utilizzato nel modo previsto.

I cybercriminali adorano gli account orfani o abbandonati, perché è poco probabile che vengano scoperti dai loro proprietari.

In questo caso, l’uso attivo dell’account di un collega recentemente scomparso avrebbe dovuto destare immediatamente sospetti. Purtroppo l’account è stato deliberatamente e consapevolmente mantenuto attivo, rendendo il suo abuso perfettamente normale e quindi ineccepibile, piuttosto che farlo sembrare stranamente paranormale e quindi far lanciare un allarme.

Il tutto è finito con un ransomware

Sfortunatamente, gli aggressori non sono stati individuati fino a quando non sono stati arrecati danni significativi, ovvero dopo che hanno scatenato il ransomware Netfilim (noto anche come Nemty) sulla rete della vittima e bloccato più di 100 computer rimescolando tutti i loro dati.

Ancora peggio, quando Sophos Rapid Response ha iniziato a indagare, essendo stato chiamato quasi immediatamente dopo l’attacco ransomware, si è reso conto che i criminali avevano accesso alla rete già da un mese intero.

Come probabilmente saprete, molti ransomware attualmente utilizzano la fase finale scramble-all-the-files non come veicolo principale per ricattare la sfortunata vittima, ma semplicemente per attirare l’attenzione.

Dopotutto, puoi eseguire il ripristino da un ransomware che rimescola i file senza pagare se hai un backup recente e affidabile …

… ma quello che non puoi fare dopo che è successo è cancellare il furto dei file che i criminali hanno tranquillamente copiato dalla tua rete nei giorni che hanno preceduto il dramma finale dell’attacco crittografico. 

Un ricatto su due fronti

Purtroppo, molte delle odierne richieste di estorsione del ransomware si muovono su due fronti: “paga o elimineremo la chiave di decifratura per riavere i tuoi preziosi file” e “paga e non elimineremo i file che ti abbiamo già rubato”.

Se non paghi, i truffatori minacciano di inviare i tuoi dati riservati – e i dati sui tuoi clienti, di cui probabilmente anche i truffatori si sono impossessati – alle autorità, ai media, ad altri truffatori e persino, in molti casi, di pubblicarli sui propri siti darkweb “name-and-shame” dove chiunque può scaricarli per qualsiasi scopo nefasto a proprio piacimento.

Sophos Rapid Response ha scoperto che l’esfiltrazione di dati in questo attacco era già terminata il 24 ° giorno dell’infiltrazione di 31 giorni dei criminali: gli aggressori apparentemente avevano utilizzato il noto servizio cloud cifrato con sede in Nuova Zelanda MEGA per nascondere i dati rubati.

Per le due settimane precedenti, i truffatori avevano ficcato il naso un po’ dappertutto, creando silenziosamente account aggiuntivi – questa volta, non di personale morto ma di persone che non esistevano affatto.

Per inciso, uno dei motivi per cui i criminali si prendono il loro tempo prima di aggiungere i propri account, directory, voci di registro, programmi e servizi è che a loro piace prima avere un’idea della tua rete e della tua nomenclatura, in modo che le loro aggiunte non autorizzate non appaiano insolite.

Ai truffatori piace anche scoprire quali strumenti di amministrazione del sistema e di hacking hai già sulla tua rete, in modo che possano “prendere in prestito” quelli che esistono già, sollevando così meno sospetti che se scaricassero i loro preferiti – una tecnica nota in gergo come “living off the land”, o semplicemente “fitting in well”.

Cosa fare?

  • Per un riepilogo dei passaggi che è possibile eseguire per impedire l’abuso dei propri account utente, consultare il report di Sophos Rapid Response.
  • Per un elenco degli indicatori di compromesso (IoC) per questo particolare attacco, inclusi il ransomware Netfilim e gli strumenti di caricamento dei file MEGA, consultare l’account GitHub di SophosLabs.
  • Per consigli su come affrontare i criminali informatici degli anni 2000, ascolta questo podcast con John Shier, Senior Security Advisor di Sophos.

Leave a Reply

Your email address will not be published.