Durante conferenza Blackhat, il ricercatore di SafeBreach Or Yair, ha svelato una lacuna sulla sicurezza nelle soluzioni EDR (Endpoint Detection and Response) e ha effettuato una dimostrazione. Attraverso un account non privilegiato, ha utilizzato in modo improprio diverse soluzioni EDR per mettere fuori uso le postazioni, costringendo le EDR a cancellare i dati critici degli amministratori o persino i file di sistema, rendendo così i sistemi inavviabili. A seguito della rivelazione di una debolezza critica durante la sessione BlackHat, è stato messo a disposizione un apposito tool per sfruttarla, l’AikidoWiper, su GitHub. È pertanto possibile supporre che questo strumento sia già disponibile e utilizzato dagli aggressori.
L’Aikido wiper costringe la soluzione EDR a cancellare i file per conto di un utente non privilegiato, senza malware aggiuntivo. Ciò ha conseguenze devastanti per l’azienda bersaglio: oltre ai dati distrutti, il wiper ha un impatto negativo sulle operazioni e sulla reputazione dell’azienda.
Un wiper è estremamente pericoloso se per l’eliminazione utilizza un’entità fidata del sistema, in particolare un controllo di sicurezza. In effetti, gli aggressori potrebbero prendere di mira intenzionalmente i controlli di sicurezza a causa dei loro privilegi molto elevati e del loro livello di fiducia. Con la diffusione dei wiper, diventa ancora più cruciale assicurarsi che l’EDR sia costantemente aggiornato.
La migliore difesa contro l’Aikido wiper, o qualsiasi altro attacco informatico, è prendere in considerazione che i malintenzionati abbiano già violato il proprio ambiente. Inoltre, bisogna supporre che, una volta entrati, non vorranno solo cancellare i dati su tutti i computer, ma anche possedere l’Active Directory per accedere a risorse ancora più cruciali presenti nell’ambiente.
Partendo da questo presupposto, le aziende devono concentrarsi sulla creazione di un solido piano di resilienza operativa. Un piano di questo tipo prepara meglio al recovery, nel caso in cui si verifichi il peggio, includendo tutti i sistemi critici, come Active Directory, di cui l’azienda ha bisogno per sopravvivere. Il ripristino della foresta AD sarà una parte vitale del piano di resilienza informatica di qualsiasi azienda, in quanto può ripristinare in modo pulito l’AD a seguito di disastri informatici come ransomware e attacchi wiper, anche quando i controller di dominio sono infetti o cancellati, e garantire un rapido ritorno al regolare funzionamento. Seguendo questi passaggi, le aziende potranno proteggersi a lungo dalla continua evoluzione delle minacce informatiche.
Guido Grillenmeier, Chief Technologist di Semperis
Informazioni su Semperis
Semperis consente ai team di sicurezza incaricati di proteggere gli ambienti ibridi e multi-cloud di assicurare l’integrità e la disponibilità dei servizi critici per le directory aziendali in ogni fase della catena di annientamento delle minacce e, inoltre, riduce il tempo di ripristino del 90%. Creata appositamente per proteggere Active Directory, la tecnologia brevettata di Semperis protegge oltre 40 milioni di identità da cyberattacchi, violazioni di dati ed errori operativi. Le principali organizzazioni a livello mondiale si affidano a Semperis per rilevare vulnerabilità delle directory, intercettare i cyberattacchi in corso ed eseguire rapidamente il ripristino delle operazioni in seguito a ransomware e ad altre emergenze che compromettono l’integrità dei dati. Semperis ha sede nel New Jersey e opera a livello internazionale; il suo team di ricerca e sviluppo è distribuito tra San Francisco e Tel Aviv.
Semperis ospita la pluripremiata conferenza Hybrid Identity Protection (www.hipconf.com). L’azienda ha ricevuto i maggiori riconoscimenti del settore ed è stata recentemente inclusa al quarto posto tra le aziende in più rapida crescita dell’area dei tre stati (New York, New Jersey e Connecticut) e al trantacinquesimo posto assoluto nella classifica Technology Fast 500™ 2020 di Deloitte. Semperis è accreditata da Microsoft e riconosciuta da Gartner.
Foto di Gerd Altmann da Pixabay
