Gli attacchi ransomware alle aziende stanno aumentando sia in termini di frequenza che di complessità. Molti nel settore della sicurezza ritengono che WannaCry e NotPetya siano solo un esempio di ciò che sta per accadere. Sempre più spesso, Active Directory (AD) è al centro dei cyberattacchi, con wipers come MBR-ONI che utilizzano AD per massimizzare la portata dell'attacco e, in alcuni casi, wipers come NotPetya che distruggono completamente AD. Questa serie di blog esplora storie reali di attacchi wiper, il loro impatto su AD e cosa potete fare per rendere la vostra organizzazione più preparata alla prossima ondata di attacchi.
Affrontare un virus Wiper: Quando NotPetya attacca
È passato quasi un anno dallo scoppio dell'attacco wiper NotPetya e, in questo periodo, ho avuto diverse conversazioni con analisti di sistema le cui organizzazioni sono state colpite dal malware wiper. Poiché Semperis è un'azienda che si occupa di protezione dei servizi di directory, la maggior parte delle mie conversazioni riguarda i servizi di directory e l'impatto degli attacchi nel contesto dell'AD. In ogni conversazione che ho avuto, abbiamo parlato di ciò che è avvenuto e dell'impatto sull'organizzazione in una visione post-mortem. Abbiamo poi discusso di ciò che è stato fatto per mitigare l'impatto dell'attacco e delle lezioni apprese, quindi ho pensato che potesse essere utile per gli altri ascoltare alcune di queste storie per essere più preparati ad attacchi futuri.
La prima storia che voglio condividere su NotPetya riguarda un grande produttore dell'Europa occidentale, con circa 10.000 dipendenti, la cui intera Active Directory è stata crittografata a causa di NotPetya. L'aspetto sorprendente di questa storia è che, dal momento in cui il wiper ha iniziato a diffondersi, ha impiegato meno di 10 minuti per crittografare tutti i controller di dominio (DC) e i file server (FS) dell'azienda, con una diffusione globale della crittografia a tutti i siti remoti.
Purtroppo anche i server di backup e di ripristino erano criptati e dovevano essere ricostruiti da zero. L'attacco ha portato l'organizzazione a un blocco completo e, dopo aver esaminato la valutazione iniziale dei danni, i team IT si sono resi conto che questo attacco non era mai stato visto prima.
Il processo di ripristino successivo all'attacco è stato lungo e complesso. Per prima cosa il team ha dovuto prendere alcune decisioni critiche:
- Cosa deve essere ripristinato per primo?
Questo includeva la mappatura delle applicazioni critiche per l'azienda e dei componenti infrastrutturali necessari su cui si basano. - Per ogni sito, qual è il numero minimo di DC da ripristinare?
Inoltre, è stato necessario prestare particolare attenzione al ripristino dei server che si trovavano in posizioni con scarsa larghezza di banda.
La prima fase del processo di ripristino è stata la ricostruzione dei server di backup e di ripristino, seguita dal ripristino degli altri server da nastri, un processo che ha richiesto diversi giorni con la presenza di tecnici Microsoft in loco per il supporto.
Il ripristino dei DC crittografati era un processo noioso che doveva essere eseguito da zero. Il team IT ha iniziato avviando una nuova macchina virtuale con un sistema operativo pulito, installando l'agente di ripristino, eseguendo un ripristino dello stato del sistema, pulendo il controller di interfaccia di rete (NIC) virtuale e risolvendo altri problemi relativi ai driver dopo il ripristino dello stato del sistema.
Anche se il team ha seguito i protocolli di ripristino corretti, il ripristino iniziale di Active Directory è fallito a causa di un problema di rollback del numero di sequenza di aggiornamento (USN) che ha impedito la replica di AD. Il problema dei rollback USN è che sono molto difficili da identificare e possono essere migliaia, senza che venga registrato alcun errore.
Aspettarsi l'imprevisto nel processo di recupero
La chiave di lettura di questa storia è che il ripristino di un ambiente crittografato è un processo incredibilmente complesso, con molte parti mobili da considerare.
Anche quando si pensa di essere veramente preparati, è difficile prevedere alcuni dei problemi che si possono incontrare durante il ripristino. Ecco alcuni modi per proteggere meglio la vostra organizzazione dagli effetti di un virus wiper:
- Preparatevi sempre allo scenario peggiore: anche se sembra improbabile, dovreste essere preparati a una situazione in cui tutti i vostri server, compresi quelli di backup/recupero, sono scomparsi. Mettete in atto una procedura in cui il ripristino dei server di backup/recupero è il primo passo.
- Mappate le applicazioni mission critical e le loro dipendenze infrastrutturali: molto probabilmente le vostre applicazioni line of business si basano su Active Directory, ma è importante sapere quali altri componenti devono essere ripristinati per il funzionamento dell'applicazione.
- Assicuratevi di avere un piano collaudato per ripristinare la vostra Active Directory - Avere un backup è un ottimo primo passo, ma dovete essere consapevoli che il ripristino non è un processo semplice e le cose possono complicarsi molto rapidamente. Microsoft offre un servizio di preparazione al ripristino di Active Directory, chiamato ADRES, che può aiutarvi ad essere preparati ad affrontare una situazione disastrosa con la vostra AD.
Eliminare il dolore del recupero di NotPetya
Sebbene sia fondamentale adottare alcune misure per proteggere l'infrastruttura dagli attacchi wiper, disporre di un solido piano di Disaster Recovery è l'unico modo per ridurre davvero la complessità del processo di ripristino. La soluzione Active Directory Forest Recovery (ADFR) di Semperis automatizza completamente l'orchestrazione del processo di Disaster Recovery di Active Directory e riduce drasticamente i tempi di ripristino. Sfruttando l'intelligenza interna, ADFR è in grado di prendere decisioni che risolvono una serie di problemi che possono sorgere durante il processo di ripristino di AD DR (ad esempio, l'utilizzo di punti di distribuzione per superare il problema della scarsa larghezza di banda della rete). Per ulteriori informazioni sull'Active Directory Disaster Recovery, è possibile consultare il nostro webinar sull'automazione dell'AD DR e il nostro webinar sulle considerazioni sul backup dell'AD.
Rimanete sintonizzati per il prossimo blog della serie, in cui parlerò in modo più approfondito del virus ONI e del suo effetto su Active Directory.
