Ransomware: l’importanza della prevenzione

I ransomware rappresentano uno dei tipi di attacco più diffusi nei confronti delle aziende e delle organizzazioni. Come già evidenziato in questo articolo, i ransomware difficilmente permettono di recuperare le informazioni e i dati cifrati ed è quindi importante procedere a mettere in atto delle “best practices” per cercare di limitare le possibilità che esponiamo all’esterno, rendendo meno vasto il perimetro di attacco messo a disposizione per gli hackers.

E’ altresì assolutamente essenziale essere in possesso di backup offsite completi rispetto ai contenuti aziendali, poichè una volta attaccati, verosimilmente l’unico modo di recuperare i dati, sarà quello di ripristinare i contenuti del backup “fuori linea”, visto che solitamente se raggiungibile il percorso dei salvataggi, anch’esso verrà crittografato.

Sicurezza informatica

Diffusione dei Ransomware tramite Active Directory

Soprattutto negli ultimi anni i Ransomware si sono evoluti utilizzando dei sistemi evoluti in grado di espandersi all’interno di una rete. Tipicamente il malware include funzionalità specifiche per propagarsi da un dispositivo infetto iniziale ad altri dispositivi sulla stessa rete.

Invece di scrivere e testare il codice aggiuntivo, che potrebbe essere soggetto ad errori, gli hacker hanno optato per sfruttare un sistema che è già presente nella maggior parte delle organizzazioni, ovvero Active Directory.

Nel momento in cui un attaccante riesce ad ottiene un accesso privilegiato all’interno di AD, diventa poi facile acquisire privilegi e visibilità sull’intera infrastruttura IT di un’organizzazione. Le soluzioni on-premise e cloud risultano essere entrambe vulnerabili: l’Active Directory contiene infatti informazioni su tutti gli utenti, gli endpoint, le applicazioni e i server.

È possibile utilizzare strumenti di amministrazione standard per interrogare la directory senza essere rilevati dai software e sistemi di sicurezza. Gli hacker possono quindi utilizzare AD per propagare il ransomware a tutti i dispositivi dell’organizzazione.

Difenditi dai ransomware con l'hardening di Active Directory - Sicurezza Informatica - Nexsys

Anche nelle aziende in cui il reparto IT ha intrapreso ulteriori passaggi al fine di proteggere i Domain Controller, ovvero i server che eseguono e mettono a disposizione i servizi per gli utenti, l’AD potrebbe essere comunque compromessa sfruttando i dispositivi degli utenti finali agganciati al dominio aziendale.

Ecco perchè è essenziale andare a fare hardening su Active Directory, in modo da proteggere al meglio questo sistema e rendere la vita più difficile agli attaccanti.

Come prevenire la diffusione dei ransomware tramite Active Directory

Gli attacchi ransomware che utilizzano Active Directory per propagarsi o per eseguire ricognizioni richiedono tipicamente un accesso privilegiato (Administrator) in Active Directory. La maggior parte delle organizzazioni non limita o gestisce correttamente l’uso di account AD privilegiati, lasciando tipicamente i sistemi IT esposti a ransomware ed altri tipi di attacco.

Ecco sei modi per proteggere l’accesso agli account AD privilegiati e rendere difficile per gli attaccanti utilizzare Active Directory per gestire la propazione del Ransomware all’interno della rete:

Ridurre la membership dei gruppi privilegiati di Active Directory

Microsoft consiglia di ridurre al minimo l’utilizzo di account privilegiati all’interno di un dominio Active Directory. Sebbene sia importante limitare l’appartenenza ai gruppi Domain Admins ed Enterprise Admins, questi non sono gli unici gruppi privilegiati in AD. Schema Admins, ad esempio, rappresenta un altro gruppo privilegiato con diritti per andare a modificare la matrice degli attributi di AD.

Limitare l’uso degli account privilegiati in Active Directory

Esistono alcune tecnologie in Windows che possono aiutare a ridurre l’esposizione delle credenziali AD privilegiate, come ad esempio la gestione del gruppo di sistema “Protected Users” e l’utilizzo del sistema Windows Defender Credential Guard. In ogni caso rientra nelle best practices, quella di utilizzare le credenziali amministrative solo su workstation ad uso “amministrativo” su cui è stato fatto hardening a livello sicurezza.

Difenditi dai ransomware con l'hardening di Active Directory - Sicurezza Informatica - Nexsys

Utilizzare utenze locali al posto delle utenze di dominio (se possibile)

Microsoft ha recentemente modificato la “visione” rispetto all’accesso sui dispositivi client in remoto utilizzando un account amministratore locale. Le organizzazioni generalmente concedono l’accesso remoto ai client utilizzando un account utente di dominio. Se disponibile è consigliato utilizzare di un sistema per randomizzare e modificare periodicamente la password dell’amministratore locale su ciascun dispositivo, come ad esempio tramite lo strumento LAPS (Local Administrator Password Solution) di Microsoft, in modo da evitare di utilizzare un account di dominio, ad esempio per un’attività di supporto da remoto. L’utilizzo di un account locale con password “robusta” al fine di supportare i dispositivi degli utenti finali, rende più difficile per gli attaccanti compromettere Active Directory.

Implementa un modello di amministrazione a più livelli per Active Directory

Microsoft consiglia di organizzare la gestione delle risorse in Active Directory, tramite un modello a livelli, sostanzialmente più sicuro. Il modello consigliato è composto essenzialmente da tre livelli che agiscono come buffer, al fine di separare l’amministrazione dei dispositivi. Questi 3 livelli sono rappresentati da:

– Tier 0 per la gestione dei Domain Controller con le security policy più stringenti

– Tier 1 per la gestione dei Server membri del dominio e applicativi

– Tier 2 per la gestione dei PC Client

Multifactor Authentication

Protezione degli account amministrativi con la multifactor authentication

Le password da sole non rappresentazioni un sistema di protezione efficace e sicuro, poichè potrebbero essere compromesse e riutilizzate dall’attaccante. Ad oggi infatti molte organizzazioni si affidano solo alle password come sistema di protezione per gli account amministrativi di AD. Secondo Microsoft, è dimostrato che l’autenticazione a più fattori è uno strumento di difesa efficace in grado da solo di bloccare una buona parte degli attacchi automatici. Tramite i sistemi MFA verrà richiesto agli utenti di fornire oltre alla password, un ulteriore fattore di autenticazione come ad esempio un sistema biometrico o un passcode monouso generato da un’app di autenticazione.

Effettua il monitoraggio di Active Directory per le attività sospette

Risulta estremamente importante monitorare Active Directory per verificare eventuali attività insolite. Il registro eventi di Windows contiene molte informazioni che potrebbero rivelare un uso improprio di account privilegiati e altri comportamenti dannosi.

Con le corrette informazioni le organizzazioni potrebbero bloccare in modo proattivo gli attacchi ransomware che si diffondono tramite AD. I prodotti SIEM (Security Information and Event Management) possono essere utilizzati per raccogliere informazioni inoltrate dal registro eventi di Windows Server e da altri sistemi. Le informazioni sulle minacce aggiornate possono fornire alle organizzazioni un modo automatizzato per identificare le minacce nei dati raccolti dagli eventi di sicurezza.