In seguito all’attacco ai danni di Microsoft Exchange da parte del gruppo hacker noto come “HAFNIUM”, Mat Gangwer, senior director, Sophos Managed Threat Response spiega in che modo le aziende dovrebbero affrontare tale minaccia e, nel seguente video, condivide alcuni consigli per la protezione delle reti:
“Attacchi come quello sferrato da HAFNIUM devono essere gestiti con estrema attenzione: permettono infatti agli aggressori di eseguire da remoto i comandi sui server senza bisogno di credenziali, consentendo a qualsiasi malintenzionato di sfruttarli a proprio piacimento. L’elevata diffusione di Exchange e la sua esposizione alla rete Internet significano che molte organizzazioni che utilizzano un server Exchange on-premises sono potenzialmente a rischio.
Gli aggressori stanno attivamente sfruttando queste vulnerabilità con la tecnica del web shell che, se non rilevata e bloccata tempestivamente, consente ai cybercriminali di eseguire comandi da remoto per tutto il tempo in cui la shell web resta attiva.
Le aziende che utilizzano un server Exchange on-premises dovrebbero verificare la corretta applicazione delle patch ai device Exchange e assicurarsi che gli aggiornamenti siano andati a buon fine. Tuttavia, la semplice applicazione delle patch non rimuove dalla rete gli attacchi precedenti alla patch. Le aziende hanno dunque bisogno di supporto di tecnici e di intelligence in grado di determinare se sono state colpite e in che misura, e, soprattutto, neutralizzare l’attacco e chiudere gli aggressori fuori dalle proprie reti.
Le imprese dovrebbero controllare i log del server alla ricerca di segni che mostrano che l’aggressore potrebbe aver sfruttato il proprio server Exchange. Molti degli attuali indicatori che mostrano segni di compromissione sono basati sul web shell, grazie al quale saranno evidenti i residui di file lasciati nel server Exchange.
È quindi estremamente importante avere una panoramica dei file e delle loro eventuali modifiche. Con una soluzione di endpoint detection and response (EDR), è possibile esaminare i log e processare l’esecuzione dei comandi.
Se vengono rilevate attività anomale o sospette, è consigliato valutare la propria esposizione poiché questo permetterà di decidere quali azioni intraprendere successivamente. È necessario capire quanto tempo o quanto impatto può avere avuto questa attività. Bisogna chiedersi quale sia l’intervallo di tempo tra la comparsa del web shell o di altri artefatti nella rete e il momento della patch.
Questo è spesso un buon momento per decidere di chiedere supporto esterno se non si è sicuri di come procedere. L’utilizzo di tecniche forensi e di incident response di terze parti possono essere vitali in questa fase, perché grazie al servizio di threat hunting e al supporto umano integrato, possono analizzare in profondità la rete e scovare gli aggressori.
Il team Sophos Managed Threat Response sta attivamente “cacciando” e investigando le minacce nelle reti dei clienti per scoprire nuovi indicatori di compromissione che possano essere utilizzati per aumentare il rilevamento e la difesa contro tale minaccia. L’incident response team di Sophos è attivo 24 ore su 24, 7 giorni su 7 e sta già supportando le aziende che credono di essere state attaccate, consentendo loro di raccogliere più informazioni su questa minaccia e su come proteggersi”.
Sophos ha rilasciato i rilevamenti per gli IoC noti e gli strumenti di post-exploitation utilizzati.
Per maggiori informazioni Sophos News