Il CSIRT Italia ha pubblicato un avviso relativo all’utilizzo sempre più frequente di una tecnica di estorsione finalizzata alla richiesta di denaro attraverso la minaccia di pubblicare dati aziendali sensibili nel caso non venga effettuato un pagamento in Bitcoin facendo leva su una presunta compromissione dei sistemi informatici aziendali.
Nello specifico, l’attore malevolo, attraverso una mail, comunica alla vittima l’avvenuta compromissione del sito aziendale utilizzando una presunta vulnerabilità e la conseguente sottrazione di tutti i database e il contenuto delle caselle di posta.
La richiesta di riscatto, da pagare in Bitcoin (BTC) su wallet creati, di norma, appositamente per ogni vittima entro 72 ore, risulta variabile (in base ad alcune evidenze osservate) tra i 3000$ ed i 2500$.
Gli esperti del CSIRT, inoltre, hanno rilevato in alcuni casi l’utilizzo di dati aziendali esfiltrati e resi pubblici in precedenza per conferire legittimità alla comunicazione.
Il CSIRT raccomanda le seguenti azioni di mitigazione agli utenti e alle organizzazioni per far fronte a questa tipologia di attacchi verificando scrupolosamente le email ricevute e attivando le seguenti misure:
- analizzare i log dei sistemi indicati come compromessi ricercando evidenze di possibili attività malevole;
- analizzare i log di traffico in uscita ricercando evidenze di flussi compatibili con la presunta dimensione del data leak;
- procedere all’analisi di tutte le componenti dell’infrastruttura (sistemi operativi e applicazioni) dichiarata come compromessa in particolare relativamente al livello di aggiornamento dei prodotti utilizzati e alla presenza di eventuali vulnerabilità conosciute;
- procedere all’aggiornamento all’ultima versione disponibile di tutte le precedenti componenti;
- procedere alla ricerca di eventuali vulnerabilità applicative (es. XSS, SQLi, LFI, CSRF, RCE etc) e alla risoluzione delle stesse;
- implementare, qualora non presenti, sistemi di protezione come, ad esempio, WAF (Web Application Firewall).
