Server di Backup “sotto attacco”: come LockBit, Black Basta & Helldown sfruttano le vulnerabilità di Veeam
Nel panorama in continua evoluzione delle minacce informatiche, i server di backup sono diventati bersagli privilegiati per i gruppi ransomware. Recenti indagini hanno evidenziato che gruppi come LockBit, Black Basta e Helldown stanno utilizzando uno script PowerShell comune, Veeam-Get-Creds.ps1, per estrarre credenziali dai server Veeam Backup & Replication. Questa tattica consente agli attaccanti di compromettere dati di backup sensibili, eseguire escalation di privilegi e attuare schemi di doppia estorsione.
Perché targetizzare i server di backup?
I server di backup memorizzano dati critici e credenziali, rendendoli obiettivi allettanti per i cybercriminali. Compromettendo i sistemi di backup, gli attaccanti possono:
- Rubare credenziali memorizzate: ottenere accesso a account amministratori di dominio o database.
- Distruggere o cifrare i backup: impedire il ripristino e costringere le vittime a pagare il riscatto.
- Movimento laterale: utilizzare le credenziali rubate per spostarsi attraverso la rete.
Come funziona Veeam-Get-Creds.ps1
Lo script Veeam-Get-Creds.ps1 è uno strumento di post-exploitation utilizzato per estrarre credenziali memorizzate nei server Veeam Backup & Replication. Il processo si sviluppa tipicamente nei seguenti passi:
1) Query del Database Veeam: lo script accede al database interno di Veeam, che memorizza credenziali criptate.
2) Decrittazione delle credenziali: se la crittografia è debole o mal configurata, lo script decripta le password memorizzate.
3) Output delle credenziali in chiaro: le credenziali in chiaro vengono mostrate all’attaccante, permettendo successivi ulteriori accessi.
Il ruolo dell’escalation di privilegi
I servizi Veeam spesso operano con privilegi elevati. Una volta estratte le credenziali, gli attaccanti possono ottenere accesso agli account amministratori di dominio, compromettendo ulteriormente l’intera rete.
Distruzione dei backup e doppia estorsione
Gli attaccanti utilizzano frequentemente le credenziali Veeam compromesse per eliminare o cifrare i file di backup. Distruggendo i backup, eliminano la capacità della vittima di recuperare i dati senza pagare il riscatto, aumentando la pressione dello schema di estorsione.
Rilevamento e difesa
Per rilevare l’uso di Veeam-Get-Creds.ps1, i team di sicurezza possono sfruttare strumenti di rilevamento come ad esempio Microsoft Sentinel, oppure Splunk.
Ecco la query per Sentinel:
SecurityEvent
| where EventID == 4688
| where NewProcessName endswith “powershell.exe”
| where CommandLine contains “Veeam-Get-Creds.ps1” or CommandLine contains “Get-VBR*”
Questa invece la query per Splunk:
index=windows EventCode=4688
| search CommandLine=”*Veeam-Get-Creds.ps1*” OR CommandLine=”*Get-VBR*”
Strategie di mitigazione per la sicurezza IT
1. Terminare i processi PowerShell non autorizzati
Una delle prime strategie di mitigazione è terminare automaticamente le sessioni PowerShell non autorizzate. PowerShell è spesso sfruttato dagli attaccanti per eseguire comandi dannosi. Configurare sistemi di monitoraggio e terminazione automatica delle sessioni sospette può prevenire attacchi informatici.
2. Disabilitare gli account Veeam non necessari
Per ridurre i rischi, è fondamentale limitare il numero di account con accesso ai backup Veeam. Ogni account in più rappresenta una potenziale vulnerabilità. Assicurati di disabilitare gli account non utilizzati e di applicare il principio del minimo privilegio.
3. Hardenizzare i server Veeam
Proteggere i server Veeam è essenziale per garantire la sicurezza dei backup. Ecco alcune best practice:
- Utilizzare crittografia forte per proteggere i dati sensibili.
- Implementare la segmentazione della rete per isolare i server di backup da altre reti.
- Monitorare gli account per individuare attività sospette o accessi non autorizzati.
Flusso di attacco: come agiscono gli hacker
Il flusso di attacco rappresenta la sequenza di passaggi che gli hacker seguono per compromettere un sistema, rubare dati o causare danni. Comprendere questo processo è fondamentale per implementare misure di sicurezza efficaci. Ecco una panoramica dettagliata di come agiscono gli hacker:
1) Sfruttamento delle vulnerabilità
Gli attaccanti spesso sfruttano vulnerabilità RDP o configurazioni errate per ottenere l’accesso iniziale ai sistemi. È cruciale mantenere aggiornati i software e configurare correttamente i protocolli di accesso remoto.
2) Furto di credenziali
Una volta dentro, gli hacker utilizzano strumenti come Veeam-Get-Creds.ps1 per eseguire il dump delle credenziali. Questo permette loro di accedere a risorse critiche come i server di backup.
3) Movimento laterale
Con le credenziali rubate, gli attaccanti si muovono lateralmente nella rete, accedendo a server di backup, controller di dominio e condivisioni di file. Questo passaggio è cruciale per espandere il controllo sulla rete.
4) Esfiltrazione dati e ransomware
Nella fase finale, gli hacker utilizzano strumenti come Rclone per l’esfiltrazione dei dati o PDQ Deploy per distribuire ransomware. Proteggersi richiede un approccio proattivo, con monitoraggio costante e backup sicuri.
Conclusione: l’importanza di una soluzione di Backup SaaS
L’abuso diffuso di strumenti come Veeam-Get-Creds.ps1 evidenzia l’importanza critica di proteggere l’infrastruttura di backup, che rappresenta un obiettivo primario per i gruppi ransomware. Le organizzazioni devono adottare misure proattive, come l’implementazione di crittografia forte, il monitoraggio degli account privilegiati e la segmentazione della rete, per difendersi da questi attacchi sempre più sofisticati. Tuttavia, per garantire una protezione completa e resiliente, è fondamentale integrare soluzioni avanzate come di Backup SaaS come ad esempip Druva, che offrono numerosi vantaggi in scenari di attacco complessi.
Vantaggi di Druva Backup in questo scenario
1) Protezione dei dati con crittografia end-to-end
Druva Backup utilizza una crittografia avanzata sia in transito che a riposo, garantendo che i dati dei backup siano sempre protetti, anche in caso di accesso non autorizzato. Questo riduce il rischio che gli hacker possano sfruttare strumenti come Veeam-Get-Creds.ps1 per compromettere le credenziali o accedere ai backup.
2) Isolamento dei backup tramite archiviazione cloud sicura
A differenza delle soluzioni on-premise, Druva Backup archivia i dati nel cloud, isolandoli fisicamente dalla rete aziendale. Questo impedisce ai ransomware di raggiungere e crittografare i backup, garantendo che siano sempre disponibili per il ripristino in caso di attacco.
3) Monitoraggio proattivo e rilevamento delle minacce
Druva offre funzionalità di monitoraggio continuo e rilevamento delle anomalie, che aiutano a identificare attività sospette, come tentativi di accesso non autorizzato o movimenti laterali nella rete. Questo permette ai team di sicurezza di intervenire tempestivamente prima che un attacco si espanda.
4) Ripristino rapido e affidabile
In caso di attacco ransomware o esfiltrazione di dati, Druva Backup consente un ripristino rapido e preciso dei dati critici, minimizzando i tempi di inattività e i danni economici. La sua architettura cloud-based garantisce che i backup siano sempre accessibili, anche se l’infrastruttura on-premise è compromessa.
5) Riduzione della complessità operativa
Con una soluzione completamente gestita nel cloud, Druva elimina la necessità di manutenzione hardware, aggiornamenti software e configurazioni complesse. Questo permette ai team IT di concentrarsi su attività strategiche, migliorando al contempo la sicurezza complessiva.
Perché scegliere Druva Backup?
In uno scenario in cui i gruppi ransomware sfruttano strumenti come Veeam-Get-Creds.ps1 per compromettere i server di backup, Druva Backup si distingue come una soluzione resiliente, sicura e scalabile. Integrando Druva, le organizzazioni non solo migliorano le loro capacità di difesa contro violazioni di dati ed estorsioni, ma ottengono anche una protezione completa e senza interruzioni per i loro dati più critici.
Comprendere come agiscono gli hacker e adottare soluzioni avanzate come Druva Backup è essenziale per costruire un’infrastruttura IT in grado di resistere alle minacce moderne e garantire la continuità operativa, anche negli scenari più critici.
