Il tesoro nascosto dei cracker
Rumore di Fondo - E05S03
Rumore di Fondo E05S03 - Il tesoro nascosto dei cracker
🗓️ Febbraio (如月), il mese degli abiti a strati
🎬 Il caso Gabby Petito
#security #ransomware #awareness
//.intro
"Rumore di Fondo" è una pubblicazione altamente aperiodica, indipendente e senza alcuno scopo di lucro
//.signorina37
digital strategist, retrogamer, programmatrice COBOL, diabetica, cucino e parlo giapponese, ho scritto libri, ho visto cose, frequento gente discutibile
E05S03:
disclaimer
Il tesoro nascosto dei cracker
spoiler
🔴 disclaimer
Se avete letto la mia serie “Phreak That” saprete perché i criminali li chiamo ancora cracker, non hacker.
In tempi incerti, con trombette e sudafricani a far man bassa del buon senso comune, vorrei cominciare a ristabilire il linguaggio proprio. O, come disse qualcuno, diamo un nome alle cose.
💸 IL TESORO NASCOSTO DEI CRACKER
La quantità delle rivendicazioni pubblicate in queste ultime settimane dal gruppo criminale CL0P^_ è imponente. In questi giorni mi hanno chiesto se davvero tutte le rivendicazioni corrispondono ad un attacco: sì. Tristemente sì.
Servono, però, alcune considerazioni in merito alla natura degli attacchi, alla struttura e alle infrastrutture colpite.
Un sito web o una struttura informatica obsoleta, non manutenuta e non aggiornata (sia per quanto riguarda il software principale che per i vari plugin e addon) rappresenta un rischio estremo per la sicurezza. La mancanza di controllo, manutenzione e di aggiornamenti regolari offre una serie di vulnerabilità che i criminali informatici possono sfruttare per accedere, esfiltrare dati, compromettere i sistemi e causare danni significativi.
Una delle situazioni più comuni è il non essere informati sugli aggiornamenti del proprio sito e dei suoi componenti.
Vulnerabilità (s)conosciute e patch non applicate
I software (inclusi CMS come WordPress, Joomla, ..) e i sistemi operativi che non vengono aggiornati frequentemente, sono vulnerabili a bug e falle di sicurezza già note e, in molti casi, già risolte dalle aziende che li sviluppano. Quando una vulnerabilità viene identificata, gli sviluppatori rilasciano delle patch per correggere il problema. Se il sito o il sistema non viene aggiornato, queste patch non vengono mai applicate, lasciando la porta aperta.
Ad esempio, i plugin di WordPress, se non aggiornati, possono contenere vulnerabilità che consentono RCE (Remote Code Execution), l'accesso ai database o il controllo completo del server. Questi plugin sono spesso attaccati perché sono più difficili da monitorare rispetto al software principale.
Falle nei plugin e negli addon
I plugin e gli addon esterni sono spesso punti deboli, poiché vengono sviluppati da terze parti e non sempre seguono gli stessi standard di sicurezza del software principale. Se non vengono aggiornati, possono diventare un obiettivo privilegiato per gli attaccanti. Alcuni plugin possono contenere backdoor o funzionalità non sicure che possono essere sfruttate per compromettere il sito o accedere ai dati sensibili.
Un caso interessante è il "ChatNow" plugin installato su diversi siti: quel plugin è stato exploitato ed utilizzato per entrare in possesso di credenziali di accesso a database e, attraverso la scoperta del numero WhatsApp aziendale, frodare alcuni clienti.
Mancanza di monitoraggio e patching proattivo
Se un sito o una struttura non è seguito da un team di esperti di sicurezza, i rischi di esposizione aumentano - demandare tutto al nipote del capufficio che sa montare le stampanti non equivale ad avere una manutenzione tecnica professionale.
I threat actors sono esperti nel ricercare vulnerabilità conosciute e mirano a strutture che non sono attivamente monitorate per rilevare e correggere eventuali problemi di sicurezza. Le falle di sicurezza possono rimanere ignorate per anni, consentendo agli hacker di sfruttarle con facilità - è il caso di TP-Link, ma anche di Cisco e, banalmente, di WinZip.
Un facile accesso alle strutture obsolete e non aggiornate mette a rischio accessi, dati sensibili, brevetti, schemi tecnici e informazioni che possono essere utilizzate per frodi, furto di identità o estorsione.
Lo abbiamo visto cento e una volta, nella fase di raccolta informazioni e OSINT: siti web datati 2003, 2007, 2009, 2015 (e vi risparmiamo le grafiche da #feelsbadman), mai aggiornati. Spesso sono siti non più attivi, restano in rete come una vetrina - anche qui perché l'addetto IT non ha pensato a metterli in sicurezza.
Perché qualcuno dovrebbe "abbandonare" un sito?
Spesso perché l'attività in questione viene rilevata da un'azienda più grande, che ingloba il marchio e la tecnologia - accade spesso con aziende meccaniche e di logistica, meno frequente nel settore sanitario.
Post pandemia, molti siti sbocciati per necessità, sono stati abbandonati1. I siti creati su piattaforme come WIX non hanno risentito di attacchi significativi, ma molti dei siti self-hosted hanno presentato vulnerabilità - sfruttate ampiamente.
Pensiamo adesso ai siti che fanno parte di una rete aziendale, magari dopo un merge oppure un'acquisizione, quei siti che condividono lo stesso database, accessi e credenziali. Un attacco può consentire l’accesso ai sistemi interni (database, server di posta elettronica, applicazioni aziendali, risorse..) e compromettere l'intera infrastruttura, spesso senza che l’azienda si accorga immediatamente.
È successo con LaCimbali, e i recenti attacchi a due aziende collegate a Leonardo SPA, farebbero pensare che i criminali siano entrati in possesso di accessi tramite un sito non mantenuto correttamente.
"Ok, ma un sito vecchio, magari di un'azienda vecchia, non ha mica niente di pericoloso!" Ni.
È pericoloso non aggiornare i sistemi legacy e lasciare un sito "sguarnito", qualche accesso, qualche dato sensibile lo si può sempre ricavare.
"E perché non lo fanno, se rischiano tanto?"
La domanda da un milione di dollari (nel senso che non rispondere spesso costa questa cifra). Le aziende potrebbero vedere l’aggiornamento di un sito come un investimento costoso e poco urgente, quindi potrebbero rimandarlo.
Potrebbero anche non considerarlo utile, aspettando che il dominio arrivi a scadenza per poi dismetterlo - dimenticandosi che il vecchio amministratore/tecnico aveva impostato il rinnovo automatico ad vitam.
Il rischio a lungo termine è elevato, mentre l'investimento sulla sicurezza potrebbe arginare in larga parte eventuali danni.
Giusto per avere una visione a 360 gradi del costo dell'insicurezza, queste sono alcune aziende sussidiarie colpite da ransomware - preciso che non si tratta di attacchi arrivati tramite siti web obsoleti, ma tramite sfruttamento di alcune vulnerabilità:
Change Healthcare (controllata del gruppo UnitedHealth Group, a sua volta parte di OPTUM): a febbraio 2024 è stata vittima di un attacco ransomware da parte di ALPHV/BlackCat, che ha esfiltrato oltre 6TB di dati.
Il riscatto è stato pagato: 22 milioni di dollari, ma potrebbero essere il doppio, considerato il tentativo di double extortion da pate di un affiliato di ALPHV/BlackCat che non è stato pagato.Ticketmaster (sussidiaria di Live Nation): ad aprile 2024 ha subito un attacco ransomware da parte del gruppo ShinyHunters. Sono stati compromessi i dati di oltre 500 milioni di utenti, inclusi numeri di telefono, indirizzi email e informazioni sulle carte di credito.
Live Nation ha avviato un'indagine interna e ha offerto servizi di monitoraggio dell'identità ai clienti colpiti - che hanno comunque un costo ingente, ma la reputazione, per loro, vale molto di più.
CDK Global (sussidiaria di Brookfield Business Partners): fornitore di software per concessionarie auto, nel giugno 2024 viene colpita da un attacco ransomware da parte di BlackSuit.
L'incidente ha compromesso le operazioni di oltre 10.000 concessionarie in Nord America, causando interruzioni significative nelle attività quotidiane e l'esposizione di dati sensibili dei clienti.
Cosa portiamo a casa?
Una piccola lezione: non importa che tu sia pizzicagnolo o Ministero della Pizza, proteggi sempre i tuoi accessi, i tuoi dati e non lasciare “incustodite” le tecnologie e le strutture che non si usano più.
😎 SPOILER
la statistica CENSIS (aggiornata a febbraio 2024) indica che, su un totale di oltre 487.000 nuovi domini registrati e quasi 970.000 siti nati, più del 53% è stato lasciato in rete per disinteresse.
Meno male che ci sei tu. ❤️