A fine marzo scorso, quando abbiamo parlato dell’attacco ransomware GandCrab rivolto ai clienti dei Managed Service Provider, avevamo predetto che probabilmente non sarebbe stato un caso isolato. Gli MSP sono un obiettivo troppo allettante per i cybercriminali e non possono ignorarlo.
E abbiamo avuto ragione. Ad aprile, il ransomware Sodin ha attirato l’attenzione dei nostri esperti. È diverso dagli altri perché, oltre a sfruttare le falle nei sistemi di sicurezza degli MSP, approfitta anche di una vulnerabilità presente nella piattaforma Oracle WebLogic. Se normalmente un ransomware ha bisogno di un’azione dell’utente (per esempio, la vittima deve scaricare un file da un’e-mail di phishing), in questo caso non è nemmeno necessario.
Per maggiori dettagli tecnici sulle tecniche impiegate da questo ransomware, potete leggere il nostro post su Securelist. Dal nostro punto di vista, l’aspetto più interessante di questo malware riguarda i suoi metodi di diffusione.
Sodin e le sue tecniche per diffondersi
Affinché il malware potesse diffondersi attraverso WebLogic, i cybercriminali hanno sfruttato la vulnerabilità CVE-2019-2725 per eseguire un comando PowerShell su un server Oracle WebLogic vulnerabile. Grazie a ciò, i cybercriminali hanno potuto caricare un dropper sul server per poi installare il payload, ovvero il ransomware Sodin. Le patch riguardanti questo bug sono già state pubblicate ad aprile ma verso fine giugno è stata riscontrata un’altra vulnerabilità simile, la CVE-2019-2729.
Durante gli attacchi che colpiscono i Managed Service Provider, Sodin s’insinua nei dispositivi degli utenti in vari modi. Gli utenti di almeno tre provider diversi sono già stati colpiti da questo Trojan e, secondo quanto leggiamo su DarkReading, in alcuni casi i cybercriminali hanno utilizzato le console di accesso da remoto Webroot e Kaseya per diffondere il Trojan. In altri casi, come si evince su Reddit, i cybercriminali sono penetrati nell’infrastruttura MSP sfruttando il protocollo RDP, hanno ottenuto maggiori autorizzazioni, hanno disattivato le soluzioni di sicurezza e i backup e infine hanno scaricato il ransomware sui computer client.
Cosa possono fare i service provider?
Per cominciare, bisogna custodire in maniera efficace le password per l’accesso a servizi in remoto e utilizzare l’autenticazione a due fattori dove possibile. Entrambe le console Kaseya e Webroot per il controllo da remoto dispongono dell’autenticazione in due passaggi. Inoltre, dopo l’incidente, gli sviluppatori hanno iniziato a vietarne l’uso ma, come abbiamo potuto constatare, i cybercriminali che si occupando di diffondere Sodin il più possibile non si lasciano scappare nessun tipo di opportunità e sono intenzionalmente andati alla ricerca di varie tecniche di diffusione del malware sui Managed Service Provider. Per questo, è molto importante tenere sempre sotto controllo tutti gli altri tool utilizzati in questo settore. L’accesso da remoto, come abbiamo detto più e più volte, dovrebbe essere utilizzato come ultima risorsa.
I Managed Service Provider, soprattutto se si occupano di cybersecurity, dovrebbero pensare seriamente alla protezione delle proprie infrastrutture e con molta più serietà rispetto a quanto già facciano quando si tratta della sicurezza dei propri clienti. Ecco cosa può offrire Kaspersky agli MSP per proteggere se stessi e i propri clienti.
Cosa possono fare le altre aziende?
Naturalmente, l’aggiornamento dei software continua a essere un compito fondamentale. I malware che riescono ad accedere alle vostre infrastrutture grazie alle vulnerabilità scoperte e risolte da mesi sono un esempio lampante (e imbarazzante) di autogol.
Le aziende che utilizzano Oracle WebLogic innanzitutto dovrebbero dare un’occhiata alle Oracle Security Alert Advisories per le vulnerabilità CVE-2019-2725 e CVE-2019-2729.
Infine, è opportuno avvalersi di una soluzione di sicurezza affidabile che disponga di sottosistemi in grado di identificare i ransomware e di proteggere le workstation.