Come le piccole vulnerabilità diventano una ricetta per il disastro

Post sul blog 9 aprile 2021 di Max van der Linden, Analista di sicurezza di Bureau Veritas Cybersecurity

Come avrà sentito, il comune Hof van Twente è stato recentemente vittima di un Attacco ransomware, che ha provocato un blocco quasi totale dell'attività. Un attacco ransomware essenzialmente interrompe o blocca i file importanti e li ripristina solo quando viene pagata una grande somma di denaro.

Adobe Stock 157071653

NFIR ha eseguito un'indagine forense sul caso; il rapporto pubblicato* è stato utilizzato come base per questo blog. Questo blog intende fornire una panoramica di alto livello del percorso degli eventi che hanno portato all'attacco e mostrare che le vulnerabilità che possono sembrare insignificanti all'inizio possono avere un impatto enorme quando vengono concatenate.

Il9novembre 2020 gli hacker hanno ottenuto un accesso iniziale forzando brutalmente l'accesso al desktop remoto (RDP) di un server FTP. Questo potrebbe sembrare complesso, ma in sostanza gli hacker hanno trovato un computer che memorizza file/documenti. Questo computer offriva un'opzione per accedere e controllare il sistema da remoto, quindi gli hacker hanno iniziato a indovinare il nome utente e la password tentando di accedere milioni di volte con nomi utente e password diversi, finché alla fine hanno trovato l'account "testadmin" con la password "Welkom2020" e sono riusciti ad accedere. Il "test" in "testadmin" implica che si trattava di un account creato a scopo di test.

Comando e controllo

L'account "testadmin" aveva il più alto livello di accesso all'interno dell'organizzazione, il che ha permesso agli hacker di muoversi liberamente nella rete e di eseguire le loro azioni maligne. Gli hacker hanno avuto accesso a un totale di nove server, di cui ne hanno utilizzati quattro per stabilire una connessione al proprio server di comando e controllo. Il server di comando e controllo è essenzialmente un sistema controllato dagli hacker che invia comandi ai quattro server della rete Hof van Twente, che ora possono essere "comandati" per eseguire gli attacchi dall'interno.

Poiché gli hacker avevano ora un modo per "comandare e controllare" quattro sistemi della rete, hanno rimosso l'accesso RDP dal server FTP. In altre parole, gli hacker hanno chiuso e bloccato la backdoor che avevano usato per ottenere l'accesso iniziale, perché lasciare la porta aperta avrebbe potuto destare sospetti o permettere ad altri di ottenere lo stesso accesso.

Adobe Stock 252116838 copy

È l'ora dello spettacolo: Esecuzione dell'attacco

Ora che gli hacker avevano accesso alla rete interna e cancellato il loro percorso iniziale di ingresso, era il momento di eseguire l'attacco ransomware. Alle 22.00, quando gli hacker si aspettavano che non ci fosse nessuno in ufficio per interferire, hanno iniziato a bloccare i sistemi e a cancellare 89 server virtuali, finché non sono rimasti in vita solo i sistemi necessari per gestire tecnicamente la rete. Si prenda un momento per immaginare cosa significherebbe questo nella sua organizzazione: in sostanza, tutto ciò che è conservato nella sala server è sparito.

Gli hacker hanno lasciato un'indicazione del fatto che non si trattava solo di un fallimento tecnico. Quando le persone sono entrate in ufficio, hanno notato delle note di riscatto stampate su alcune stampanti. Inoltre, gli hacker hanno lasciato copie digitali di queste note di riscatto sui sistemi colpiti. Le note di riscatto contengono generalmente istruzioni su ciò che un'azienda deve fare per recuperare i propri dati e sistemi, che in genere si riducono a: "Pagate un sacco di soldi e vi daremo le chiavi per sbloccare di nuovo tutto".

Adobe Stock 270049183

In vari momenti del periodo di compromissione, ci sarebbero potute essere opportunità per rilevare l'attacco. Per dare un'idea della tempistica, il primo accesso riuscito degli hacker è stato il 9 novembre. L'attacco vero e proprio è stato eseguito il 30 novembre. Ciò ha fornito una finestra di circa 20 giorni in cui questo attacco avrebbe potuto essere fermato. Per esempio, a un certo punto gli hacker hanno installato un software sul server FTP per inviare spam. Questo spam è stato bloccato dal firewall. L'installazione del software e il blocco di questo spam avrebbero potuto essere un indicatore precoce che c'era qualcosa di sbagliato nella rete.


Se gli hacker di Hof van Twente avessero redatto un rapporto, avrebbero probabilmente incluso i seguenti risultati:

  • Rischio medio - Interfacce amministrative disponibili da Internet.
  • Rischio medio - Mancanza di capacità di rilevamento.
  • Rischio medio - Politica di password debole.
  • Rischio medio - Privilegi eccessivi per gli account.
  • Rischio medio - Assenza di autenticazione a più fattori sugli account utente.
  • Rischio medio - Mancanza di segmentazione della rete.
  • Rischio basso - Account di prova nell'ambiente di produzione.
  • Rischio basso - Back-up collegato alla rete.
  • Rischio basso - Account non associati a persone specifiche.


Si noti che si tratta per lo più di risultati a rischio medio e basso, che danno l'idea di un "miglioramento necessario, ma non così importante". Tuttavia, concatenandoli insieme, si è creata una situazione critica con un blocco quasi totale dell'attività.

Le preziose lezioni apprese

Ora potrebbe chiedersi: questa è una bella storia dell'orrore, ma come posso evitare che questo accada alla mia organizzazione? Beh, analizzando questo scenario specifico, ci sono alcune raccomandazioni che possono essere fatte:

  • Assicurarsi che le interfacce amministrative non siano raggiungibili da Internet, a meno che non sia assolutamente necessario.
  • Implementare meccanismi di rilevamento che avvisino l'organizzazione quando accadono 'cose strane' sulla rete.
  • Implementare una politica di password forti, con autenticazione a più fattori.
  • Assicurarsi che gli account abbiano solo la quantità minima di privilegi necessari per il loro scopo.
  • Gli account utilizzati in un ambiente di accettazione non dovrebbero avere accesso alla produzione, poiché entrambi gli ambienti hanno un livello di sicurezza diverso.
  • Implementare la segmentazione della rete per evitare il salto da server di basso profilo a server di alto profilo.
  • Utilizzi sempre account utente nominativi per impedire la condivisione delle password e aumentare la tracciabilità.
  • Si assicuri che ci sia almeno un back-up non connesso alla rete.
Adobe Stock 167813129

La correzione di una qualsiasi di queste vulnerabilità avrebbe interrotto la catena e aumentato notevolmente la difficoltà di questo attacco.


È fortemente consigliabile far testare questo tipo di vulnerabilità da una società di security testing come Secura, per evitare che gli aggressori siano in grado di formare una simile catena di attacchi.

Secura conosce le insidie più comuni e può fornire consigli su dove trovarle e come mitigarle. Aumentare il livello di sicurezza nell'organizzazione in un linguaggio che i diversi livelli di competenza tecnologica (dallo sviluppo alla gestione) possono comprendere.


"Il modo migliore per difendersi dagli hacker è usare gli hacker".

È interessato a saperne di più sugli Attacchi ransomware come quello di Hof van Twente e su come questi si manifestano nel pubblico dominio? Per saperne di più sul Ransomware, sulla mentalità dell'hacker, su come prevenire questi attacchi e molto altro ancora, consulti il nostro precedente webinar Attacco ransomware qui.

Youtube banner template webinars Ransomware webinar example