Tecnologia
Prodotti
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Blog
Risorse
Azienda

Come l’AI difende le infrastrutture critiche dai ransomware

David Masson, Director of Enterprise Security | giovedì 13 maggio 2021

Durante la conferenza RSA sulla cyber security 2021, Alejandro Mayorkas, segretario della Homeland Security statunitense, ha presentato una dichiarazione storica riguardo al panorama della cyber security: “Vorrei essere chiaro: i ransomware oggi rappresentano una minaccia di livello nazionale.”

La scorsa settimana le parole di Mayorkas si sono trasformate in realtà. Un attacco ransomware ai danni della Colonial Pipeline, fornitore di quasi la metà del mercato di diesel, benzina e carburante per aviazione sulla costa Est degli Stati Uniti, ha comportato l’interruzione della distribuzione di carburanti in numerosi stati orientali.

Le conseguenze negative di questo attacco hanno dimostrato quanto possono essere pericolose la diffusione e le conseguenze di un attacco ransomware. Prendendo di mira infrastrutture e servizi critici, i pirati informatici hanno il potenziale di interrompere le forniture, danneggiare l’ambiente e anche di mettere a rischio la vita delle persone.

Secondo alcuni dettagli ancora non confermati, sembra che l’attacco sia stato eseguito da un’affiliata del gruppo di pirati informatici chiamato DarkSide e, probabilmente, ha sfruttato normali strumenti di desktop remoto. L’accesso remoto è avvenuto sfruttando una vulnerabilità all’interno di un’infrastruttura critica derivante dell’attivazione dello smart working a cui hanno fatto riscorso molte aziende l’anno scorso, incluse quelle che utilizzano Industrial Control Systems (ICS) e Operational Technology (OT).

La nascita del ransomware industriale

I ransomware che hanno come obiettivo gli ambienti industriali sono in aumento, con una crescita pari al 500% solo nel 2018. Spesso, queste minacce sfruttano la convergenza tra sistemi IT e OT, prendendo prima di mira l’IT e passando quindi all’OT. Ciò è stato confermato con il ransomware EKANS che includeva processi ICS nella sua “kill list”, nonché con il ransomware Cring che aveva compromesso i sistemi ICS sfruttando prima una vulnerabilità in una rete privata virtuale (VPN).

Resta da scoprire se il vettore di attacco iniziale utilizzato nella compromissione ai danni della Colonial Pipeline abbia sfruttato una vulnerabilità tecnica, credenziali compromesse o una campagna di spear phishing mirata. È stato segnalato che l’attacco ha interessato per prima cosa i sistemi IT, quindi la Colonial ha disattivato l’operatività dei sistemi OT come misura di sicurezza. La Colonial ha confermato che il ransomware ha “temporaneamente alterato tutte le operazioni dell’oleodotto e interessato alcuni dei nostri sistemi IT”, confermando quindi che sono stati coinvolti sia i sistemi OT che IT. Questo è un perfetto esempio di come molti sistemi OT dipendano dall’IT e di come un attacco informatico ai danni dell’IT ha la capacità di bloccare processi OT e ICS.

Oltre a bloccare i sistemi, i pirati informatici hanno sottratto dalla Colonial anche 100 GB di dati sensibili. Questo tipo di attacco “a doppia estorsione”, in cui i dati vengono esfiltrati prima che i file siano crittografati, è diventato purtroppo la normalità anziché l’eccezione e più del 70% degli attacchi ransomware include l’esfiltrazione di dati. Alcuni gruppi di pirati informatici che utilizzano i ransomware hanno annunciato di aver abbandonato del tutto la crittografia dedicandosi invece al furto di dati e ai metodi di estorsione.

Nella prima parte di quest’anno, Darktrace ha difeso l’infrastruttura critica di un’organizzazione da un attacco ransomware “a doppia estorsione”, che sfruttava anche un comune strumento di accesso remoto. Questo blog spiegherà in dettaglio in che modo è stata rilevata la minaccia, mostrando come la self-learning AI di Darktrace ha risposto in modo autonomo ad un attacco notevolmente simile a quello che ha colpito la Colonial Pipeline.

Rilevamento della minaccia da parte di Darktrace

Un ransomware attacca un fornitore di apparecchiature per l’energia elettrica

Nel corso di un attacco ai danni di un fornitore di apparecchiature per l’energia elettrica con sede nel Nord America avvenuto ad inizio anno, l’Industrial Immune System di Darktrace ha dimostrato la sua capacità di proteggere le infrastrutture critiche da ransomware “a doppia estorsione” che prendono di mira organizzazioni dotate di sistemi ICS e OT.

L’attacco ransomware aveva inizialmente preso di mira i sistemi IT e, grazie alla self-learning Cyber AI, è stato bloccato prima che potesse diffondersi anche ai sistemi OT e bloccare l’operatività.

Il pirata informatico aveva per prima cosa compromesso un server interno con l’obiettivo di esfiltrare i dati e implementare il ransomware entro 12 ore. Il breve lasso di tempo tra la compromissione iniziale e l’implementazione è insolito, poiché i pirati informatici che utilizzano ransomware spesso attendono più giorni per diffondersi in modo furtivo il più profondamente possibile all’interno dell’ecosistema informatico prima di scatenare l’attacco.

Figura 1: sequenza dell’attacco

In che modo l’attacco ha bypassato il resto dello stack di sicurezza?

Il pirata informatico ha sfruttato le tecniche “living off the land” per mimetizzarsi nei normali “pattern of life” aziendali, usando credenziali amministratore compromesse e strumenti di gestione remota approvati dall’organizzazione nel tentativo di non farsi scoprire.

Darktrace rileva spesso l’abuso di software di gestione remota legittimo nell’arsenale di tecniche, tattiche e procedure (TTP) dei pirati informatici. L’accesso remoto sta sempre più diventando un normale vettore di attacco, in particolare negli attacchi agli ambienti ICS. Ad esempio, nell’incidente informatico che ha riguardato un impianto per il trattamento delle acque in Florida lo scorso febbraio, i pirati informatici hanno sfruttato uno strumento di gestione remota nel tentativo di manipolare il processo di trattamento delle acque.

La particolare specie di ransomware utilizzato da questo pirata informatico ha anche eluso con successo il rilevamento da parte di un anti-virus usando un’unica estensione durante la crittografia dei file. Queste forme di ransomware eludono facilmente gli approcci alla sicurezza tradizionali che fanno affidamento su regole, firme, feed sulle minacce ed elenchi di Common Vulnerabilities and Exposures (CVE) documentati, poiché si tratta di metodi in grado di rilevare solo minacce già documentate in precedenza.

Il solo modo per rilevare minacce nuove e mai viste prima come i ransomware senza firma è trovare comportamenti anomali, anziché fare affidamento su elenchi di “minacce conosciute”. Ciò può essere realizzato utilizzando la tecnologia di self-learning, in grado di individuare anche le più impercettibili deviazioni dai normali “pattern of life” relativi a tutti i dispositivi, utenti e i collegamenti tra di essi.

Informazioni di Darktrace

Compromissione iniziale e creazione di un punto di accesso

Nonostante l’abuso di strumenti legittimi e l’assenza di forme conosciute, l’Industrial Immune System di Darktrace ha utilizzato una comprensione olistica di ciò che è normale al fine di rilevare attività pericolose in più punti durante il ciclo di vita dell’attacco.

Il primo chiaro segnale di una minaccia emergente segnalato da Darktrace è stato l’uso insolito di credenziali privilegiate. Il dispositivo inoltre ha creato una connessione remote desktop protocol (RDP) insolita da un server Veeam subito prima dell’incidente, indicando quindi che il pirata informatico si era mosso lateralmente da qualche altra parte nella rete.

Tre minuti dopo, il dispositivo ha avviato una sessione di gestione remota durata 21 ore. Ciò ha consentito al pirata informatico di spostarsi all’interno di tutto l’ecosistema informatico rimanendo nel contempo non rilevato dalle difese tradizionali. Darktrace tuttavia ha rilevato l’utilizzo di una gestione remota insolita come un ulteriore segnale precoce indicativo di un attacco.

Prima parte della doppia minaccia: esfiltrazione dei dati

Un’ora dopo la compromissione iniziale, Darktrace ha rilevato l’invio di un volume insolito di dati verso pCloud, una destinazione per l’archiviazione Cloud del tutto rara. I dati in uscita erano stati crittografati utilizzando SSL, ma Darktrace aveva creato numerosi allarmi correlati a download interni e upload esterni di dimensioni eccessive, che costituivano una deviazione significativa dal normale “pattern of life” del dispositivo.

Il dispositivo ha continuato a esflitrare i dati per nove ore. Le analisi dei file scaricati dal dispositivo, trasferiti utilizzando il protocollo SMB non crittografato, suggerivano che si trattava di dati di natura sensibile. Per fortuna Darktrace è stata in grado di individuare i file specifici che erano stati esfiltrati, quindi il clienti ha potuto valutare immediatamente le potenziali implicazioni correlate alla compromissione.

Seconda parte della doppia minaccia: crittografia dei file

Poco tempo dopo, alle 01:49 ora locale, il dispositivo compromesso ha avviato la crittografia dei file in un’unità condivisa di back-up di SharePoint. Nel corso delle successive tre ore e mezza, il dispositivo aveva crittografato più di 13.000 file su almeno 20 condivisioni SMB. In totale, Darktrace ha generato 23 allarmi correlati al dispositivo in questione, pari al 48% di tutti gli allarmi generati in un corrispondente periodo di 24 ore.

Cyber AI Analyst di Darktrace ha quindi avviato automaticamente un’indagine, identificando i trasferimenti di dati interni e la crittografia dei file mediante SMB. Partendo da questi elementi, ha generato report relativi all’incidente che hanno consentito di correlare le diverse anomalie, riassumendole in un resoconto coerente sulla sicurezza. Ciò ha consentito al team della sicurezza di intervenire immediatamente per risolvere i problemi.

Se il cliente avesse utilizzato Antigena Network, la tecnologia di Autonomous Response di Darktrace, questa attività sarebbe stata sicuramente bloccata prima che un volume significativo di dati venisse esfiltrato o che i file venissero crittografati. Per fortuna, dopo aver ricevuto i due allarmi e i report generati da Cyber AI Analyst, il cliente ha deciso di utilizzare il servizio “Ask the Expert” (ATE) di Darktrace per una risposta relativa all’incidente, mitigare l’impatto dell’attacco e ricevere assistenza sul ripristino di emergenza.

Figura 2: un esempio di Cyber AI Analyst di Darktrace che rileva una crittografia anomala e una catena sospetta di connessioni amministrative ICS

Rilevamento delle minacce prima che possano interrompere le infrastrutture critiche

Il fornitore preso di mira stava supervisionando l’OT e aveva stretti legami con l’infrastruttura critica. Facilitando la risposta nella fase iniziale, Darktrace ha evitato che il ransomware di diffondesse all’interno dell’azienda. Cosa fondamentale, Darktrace ha inoltre minimizzato l’interruzione delle operazioni, evitando così l’effetto domino che il pirata informatico avrebbe potuto scatenare, non colpendo solo il fornitore stesso, ma anche le utenze elettriche supportate dallo stesso.

Come indicato sia dal recente incidente informatico avvenuto presso la Colonial Pipeline che dalla minaccia rilevata descritta in precedenza, i ransomware sono diventati una preoccupazione sempre più crescente per le organizzazioni che supervisionano l’operatività industriale in tutti i tipi di infrastrutture critiche, da oleodotti alle reti elettriche ai relativi fornitori. Grazie alla self-learning AI, questi vettori di attacco possono essere affrontati e bloccati prima che il danno sia compiuto, tramite rilevamento real-time, indagini automatizzate e, se attiva, risposta di tipo mirato alla velocità delle macchine.

Uno sguardo al futuro: utilizzo della self-learning AI per proteggere globalmente le infrastrutture critiche

A fine aprile, l’amministrazione Biden ha annunciato un impegno ambizioso per "proteggere le infrastrutture critiche statunitensi da minacce persistenti e sofisticate". Il 100-day plan del Department of Energy (DOE) prevede le specifica ricerca di tecnologie “in grado di fornire capacità di cyber-visibilità, cyber-rilevamento e cyber-risposta per i sistemi di controllo industriale correlati al sistema elettrico”.

Il cyber-sprint voluto dall’amministrazione Biden prevede chiaramente l’uso di una tecnologia in grado di proteggere le infrastrutture energetiche critiche, anziché semplici misure basate su best practice e normative. Come visto nella precedente descrizione del rilevamento della minaccia, l’AI di Darktrace è una tecnologia estremamente efficace in grado di sfruttare il machine learning non supervisionato al fine di proteggere in modo autonomo le infrastrutture critiche e i relativi fornitori, con precisione e alla velocità delle macchine.

Obiettivi del cyber-sprint del DOELe capacità di Darktrace
Miglioramento delle capacità di rilevamento, mitigazione e indagine.Rilevamento di attacchi nuovi e sofisticati, insieme a minacce interne e infezioni pre-esistenti, utilizzando la self-learning Cyber AI, senza regole, firme o elenchi di CVE.

Indagini sugli incidenti fornite in tempo reale dal Cyber AI Analyst per mettere in pratica una soluzione immediata grazie a informazioni pratiche

Contenimento di attacchi emergenti fin dalle prime fasi, prima che si trasformino in una crisi.
Implementazione di tecnologie e sistemi in grado di consentire una consapevolezza sulla situazione e capacità di risposta praticamente in tempo reale per sistemi di controllo industriale (ICS) e tecnologia operativa (OT) fondamentali.La tecnologia di self-learning AI comprende, identifica e indaga in modo immediato tutte le attività anomale all’interno di reti ICS/OT, sia gestite dall’uomo che dalle macchine.

Messa in pratica di azioni mirate ove appropriato per neutralizzare le minacce, sia in modalità attiva che con conferma da parte dell’utente.

La tecnologia di self-learning AI si adatta all’evoluzione dell’ecosistema, consentendo una consapevolezza real-time senza la necessità di ottimizzazioni o input da parte dell’utente.
Miglioramento generale della cyber security per le reti IT di infrastrutture critiche.Contestualizzazione degli eventi correlati alla sicurezza, adattandosi a nuove tecniche, e traduzione dei risultati in resoconti sulla sicurezza che possono essere utilizzati dagli utenti in pochissimi minuti.

Visualizzazione unificata dei sistemi IT e OT.

Rilevamento, indagine e risposta alle minacce a livelli Purdue elevati e in sistemi IT prima che si “diffondano” ai sistemi OT.
Implementazione di tecnologie per aumentare la visibilità delle minacce in sistemi ICS e OT.Implementazione “Plug and play” per una facile integrazione con l’architettura tecnologica.

Presentazione della topologia di rete in 3D con visibilità granulare relativa a tutti gli utenti, dispositivi e sottoreti.

Identificazione degli asset basata su self-learning per la catalogazione continua di tutti i dispositivi ICS/OT.

Identificazione e indagine di tutte le attività pericolose indicative di un attacco emergente di qualsiasi tipo, ransomware ICS, APT, exploit zero-day, minacce interne, infezioni pre-esistenti, DDoS, crypto-mining, errori di configurazione o attacchi mai visti in precedenza.

Grazie a Oakley Cox, analista di Darktrace, per queste informazioni relative al rilevamento delle minacce.

Rilevamento dei modelli Darktrace:

  • Compromissione iniziale:
    • User / New Admin Credential on Client
  • Esfiltrazione dei dati:
    • Anomalous Connection / Uncommon 1 GiB Outbound
    • Anomalous Connection / Low and Slow Exfiltration
    • Device / Anomalous SMB Followed by Multiple Model Breaches
    • Anomalous Connection / Download and Upload
  • Crittografia dei file:
    • Compromise / Ransomware / Suspicious SMB Activity
    • Anomalous Connection / SMB Enumeration
    • Device / Anomalous RDP Followed by Multiple Model Breaches
    • Anomalous File / Internal / Additional Extension Appended to SMB File
    • Anomalous Connection / Sustained MIME Type Conversion
    • Anomalous Connection / Suspicious Read Write Ratio
    • Device / Multiple Lateral Movement Model Breaches

David Masson

David Masson is Darktrace’s Director of Enterprise Security, and has over two decades of experience working in fast moving security and intelligence environments in the UK, Canada and worldwide. With skills developed in the civilian, military and diplomatic worlds, he has been influential in the efficient and effective resolution of various unique national security issues. David is an operational solutions expert and has a solid reputation across the UK and Canada for delivery tailored to customer needs. At Darktrace, David advises strategic customers across North America and is also a regular contributor to major international and national media outlets in Canada where he is based. He holds a master’s degree from Edinburgh University.