Tempo di lettura stimato: 7 minuti
Quando parliamo di “left of boom” o “right of boom” ci riferiamo ad un concetto che all’apparenza può sembrare superficiale. Invece, è un potente strumento che offre la possibilità di analizzare i conflitti di sicurezza sia da un punto di vista offensivo che da uno difensivo. In una ipotetica linea temporale di un attacco, ciò che si trova alla sua sinistra (left of boom) si riferisce a quello che accade prima. Analogamente, ciò che sta alla destra, è quello che avviene dopo.
Nel linguaggio comune molto spesso anziché “boom” si utilizza il termine “bang”, ma il significato resta comunque invariato. Si tratta, in sostanza, dell’evento stesso intorno al quale si analizza il periodo precedente e successivo.
Quindi, “left of boom” è l’insieme di eventi che si verificano prima dell’attacco. “Right of boom”, invece, è l’insieme di eventi che seguono il “boom”. Questa è la differenza sostanziale tra i due termini. Se le azioni difensive riescono a rilevare gli eventi nel periodo “left of boom”, è possibile trovare e adottare soluzioni per prevedere quando accadrà il “boom”.
Per una persona inesperta nell’ambito della sicurezza informatica, questi concetti riguardanti la linea temporale di un attacco informatico potrebbero non essere nemmeno presi in considerazione, per questo motivo molte aziende preferiscono avvalersi di un SOCaaS.
Left of Boom
Un buon penetration tester riesce a rilevare alcuni eventi di tipo “left of boom”, ma spesso si tralascia la raccolta di informazioni sulle minacce. Certe volte non è in grado di distinguere tra loro concetti come “ingegneria della sicurezza, scoperta e risoluzione delle vulnerabilità” da un “controllo di prevenzione automatizzato”.
Non esiste in realtà un vero strumento valido di prevenzione, più che altro i controlli di sicurezza sono controlli di rilevamento. Alcuni di questi controlli integrano dei meccanismi di risposta automatizzati che impediscono il susseguirsi di spiacevoli eventi.
Un’applicazione web che previene attacchi di tipo XSS o SQLI è davvero utile per rilevare input non validi e risponde scartando il contenuto prima che l’iniezione possa verificarsi.
Un firewall progettato per bloccare le porte rileva semplicemente il traffico indesiderato in relazione al protocollo usato per la connessione e al numero della porta verso la quale si desidera accedere, interrompendo e reimpostando la richiesta di connessione.
Questi esempi si legano bene al concetto di “right of boom”. I controlli di prevenzione rilevano il “boom”, l’evento, e rispondono immediatamente arginando i possibili danni. “Left of boom” e “right of boom” sono così vicini nella linea temporale che sono difficilmente distinguibili, fino a quando non si esegue un’analisi accurata degli eventi.
Questo è uno dei motivi per cui i professionisti, nell’ambito della sicurezza informatica, amano i controlli di prevenzione. Lavorano rapidamente per correggere gli errori prima che gli hacker riescano a raggiungere i loro obbiettivi, limitando i danni.
Un SOCaaS in questi casi è una delle soluzioni migliori da adottare per proteggere l’integrità di un sistema informatico.
Right of Boom
Generalmente minore è la distanza tra “right of boom” e il tempo di risposta ad una minaccia, minori sono le conseguenze provocate da un eventuale attacco informatico. Ovviamente questa è solo una considerazione logica, non vale come regola assoluta.
Per alcune violazioni, la linea temporale tra l’evento e l’eliminazione completa della minaccia è discutibile, poiché il rilevamento è avvenuto dopo che l’hacker ha raggiunto il suo obbiettivo. Se gli hacker riescono ad infiltrarsi nel sistema ma vengono fermati in tempo, non arrecando nessun danno all’infrastruttura. In questo secondo caso, quindi, non c’è il “boom” di cui stiamo parlando.
Un esempio di right of boom
Per spiegare meglio il concetto di “right of boom” potremmo prendere come esempio un comune “malware”. I malware generalmente vengono sviluppati per attaccare in massa molti dispositivi, senza tanta discrezione. Con “right of boom” ci riferiamo a quel periodo di tempo che è passato da quando è avvenuta l’infezione da parte del malware.
Se hai letto gli altri articoli pubblicati da noi avrai appreso come gli hacker utilizzano queste tipologie di infezioni allo scopo di raccogliere informazioni sensibili, che vengono rivendute ad un terzo soggetto. Se il “right of boom” è più breve del tempo che l’hacker impiega per vendere queste informazioni, il danno può essere contenuto.
I migliori sistemi di sicurezza riescono ad accorciare il tempo “right of boom” riuscendo a raccogliere informazioni sugli attaccanti nel “left of boom”. Ci si può riuscire implementando delle contromisure in base al modello di minaccia. Questi strumenti permettono di scansionare intere infrastrutture, osservando i nuovi indicatori di minaccia giorni o addirittura settimane prima che gli attacchi si distribuiscano.
Come abbiamo visto anche in altri articoli, non sempre gli attacchi si svolgono in breve tempo. È, anzi, più probabile che gli hacker coinvolti agiscano in un primo, lento, periodo solo per raccogliere le informazioni necessario per sferrare l’attacco. Nel periodo “right of boom”, tornano utili strumenti come la cyber threat intelligence e un team di threat hunting.
Perché sono importanti i concetti “Right e Left of boom”
Se ci mettessimo nell’ottica dell’hacker, il concetto di “right of boom” e di “left of boom” può aiutare a decidere quale schema d’azione sia meglio intraprendere.
Supponiamo il caso in cui un hacker abbia a disposizione due metodi per potersi introdurre in un sistema informatico. Se uno dei due metodi potrebbe venire rilevato nel periodo “left of boom”, invece l’altro nel “right of boom”, è ovvio che l’hacker preferirà il secondo. Infatti, questo garantirebbe maggiori probabilità di successo dell’attacco.
Analogamente, tra due metodi che possono essere rilevati “right of boom” si sceglie quello che ha più possibilità di venir scoperto in ritardo. Più tempo passa dal boom alla rilevazione, maggiori sono le probabilità di successo. Questo tipo di ragionamento è importante per determinare quale tattica ha una linea temporale più ampia.
Ragionare in quest’ottica non è affatto semplice, richiede delle conoscenze avanzate da parte dell’esperto di sicurezza. Richiede inoltre il dover prendere in considerazione tutte quelle ipotesi che potrebbero potenzialmente determinare il successo dell’hacker.
Velocità
Un hacker è in grado di riuscire a prevedere se, utilizzando determinate tattiche, riuscirebbe a raggiungere l’obbiettivo più velocemente rispetto all’esperto che cerca di rilevare gli attacchi. Il “boom” è il primo contatto, nell’insieme delle tattiche d’intrusione utilizzate per accedere illegalmente ad un sistema informatico. Le rimanenti tattiche si collocano prima e dopo di esso.
Velocità e furtività solitamente si annullano a vicenda. Infatti, molto spesso si può essere più veloci sacrificando parte della furtività.
Velocità e furtività non vanno molto d’accordo quando parliamo di attacchi informatici. Essere furtivi, evitando di lasciare tracce, richiede più attenzione e quindi inevitabilmente anche più tempo. Tuttavia se lo scopo di un hacker non è un singolo obbiettivo ma una serie di più obbiettivi, l’essere veloci può rivelarsi efficace.
Per difendersi dagli attacchi, è possibile raccogliere gli indicatori di compromissione (IOC) per rimediare alle vulnerabilità presenti e per introdurre nuovi controlli di rilevamento, rendendo più sicuro il sistema informatico.
Conclusioni
È importante conoscere il concetto di linea temporale degli attacchi e abbiamo visto come i concetti di “left of boom” e “right of boom” influenzino i meccanismi di risposta alle minacce di intrusione.
I concetti che abbiamo visto in questo articolo, nonostante non aggiungano niente di concreto alle tecniche di difesa o di attacco di un sistema, offrono un punto di vista. Nella continua lotta tra hacker e operatori di sicurezza, avere una strategia vincente significa non solo disporre di strumenti efficienti, ma anche pianificare in modo dettagliato ogni dettaglio, prima e dopo gli attacchi.
Per sapere come un SOCaaS può aiutarti a monitorare l’infrastruttura aziendale e cogliere gli indizi “left of boom”, non esitare a contattarci, sapremo rispondere a ogni domanda e ti offriremo una soluzione per la tua azienda.
Useful links:
Estimated reading time: 9 minuti
Lockbit è un malware noto che si diffonde attraverso l’uso di exploit kit e phishing. Questo malware viene utilizzato principalmente per eseguire attacchi ransomware, che consistono nel cifrare i dati degli utenti e richiedere un riscatto per decifrarli. Lockbit è stato identificato per la prima volta all’inizio del 2020 e da allora ha continuato a evolversi e a diffondersi a livello globale.
Un Indicator of Compromise (IOC) è un segnale o una traccia che indica che un sistema è stato compromesso da un malware come Lockbit. Gli IOC possono essere informazioni sulle attività di rete, sui file sul disco rigido o sull’uso del registro di sistema.
Versioni di Lockbit
Dall’identificazione di Lockbit, sono state rilasciate diverse versioni del malware, ciascuna con nuove funzionalità e miglioramenti. Ecco una breve descrizione delle principali versioni di Lockbit:
- Lockbit v1: questa è stata la prima versione di Lockbit identificata. Questa versione del malware utilizzava exploit kit per diffondersi e cifrare i file degli utenti;
- Lockbit v2: questa versione ha introdotto la capacità di eseguire attacchi di phishing per diffondere il malware. Inoltre, questa versione del malware è stata ottimizzata per evitare la rilevazione da parte dei software antivirus;
- Lockbit v3: questa versione ha introdotto nuove tecniche di evasione e nuove capacità di attacco, tra cui la capacità di diffondersi tramite e-mail di phishing e la capacità di cifrare anche i backup dei dati;
- Lockbit v4: questa è la versione più recente di Lockbit e include tutte le funzionalità delle versioni precedenti, oltre a nuove tecniche di attacco e di diffusione.
Indicatori di compromissione di Lockbit
Gli indicatori di compromissione (IOC) di Lockbit possono aiutare i professionisti della sicurezza informatica a identificare rapidamente la presenza del malware e prendere le misure necessarie per rimuoverlo. Ecco alcuni dei principali IOC di Lockbit:
- Modifiche al registro di sistema: Lockbit modifica spesso il registro di sistema per evitare la rilevazione da parte dei software antivirus e facilitare la diffusione del malware.
- File cifrati: uno dei principali segni della presenza di Lockbit è la presenza di file cifrati sul sistema compromesso. Questi file hanno estensioni modificate e sono inaccessibili a causa della cifratura.
- File di riscatto: Lockbit lascia spesso un file di riscatto sul sistema compromesso, che spiega come decifrare i file cifrati e richiede un pagamento in cambio della decifratura.
- Attività di rete anomale: Lockbit comunica spesso con server remoti per ottenere istruzioni o trasmettere informazioni sul sistema compromesso. Queste attività di rete possono essere identificate come anomale dai professionisti della sicurezza informatica.
- File di installazione del malware: Lockbit viene spesso distribuito insieme a file di installazione del malware, che possono essere rilevati dai software antivirus.
Come proteggersi da Lockbit
Per proteggersi da Lockbit e da altri malware simili, è importante seguire alcune semplici misure di sicurezza:
- Mantenere il software antivirus aggiornato: utilizzare un software antivirus aggiornato è essenziale per proteggere il sistema da Lockbit e da altri malware.
- Fare attenzione alle e-mail di phishing: Lockbit viene spesso diffuso tramite e-mail di phishing. Fare attenzione alle e-mail sospette e non aprire allegati o link da fonti sconosciute.
- Mantenere i software di sistema e le applicazioni aggiornate: le vulnerabilità del software sono spesso sfruttate da malware come Lockbit. Mantenere il software di sistema e le applicazioni aggiornate può aiutare a prevenire gli attacchi.
- Eseguire backup regolari: eseguire backup regolari dei dati può aiutare a recuperare i file in caso di attacco da parte di Lockbit o di altri malware.
Modifiche alle chiavi di registro da parte di Lockbit
Le chiavi di registro possono essere modificate da Lockbit per permettergli di persistere sul sistema e lanciarsi all’avvio del sistema. Ecco alcune delle modifiche alle chiavi di registro che possono essere causate da Lockbit:
- Chiave di avvio: Lockbit può aggiungere una chiave di avvio al registro di sistema per lanciarsi all’avvio del sistema. La chiave di avvio originaria può essere:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mentre la chiave di avvio modificata da Lockbit può essere:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Lockbit
- Chiave di disinstallazione: Lockbit può anche modificare la chiave di disinstallazione per impedire che venga disinstallato o rimosso. La chiave di disinstallazione originaria può essere:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
mentre la chiave di disinstallazione modificata da Lockbit può essere:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Lockbit
È importante notare che queste sono solo alcune delle possibili modifiche alle chiavi di registro che possono essere causate da Lockbit. Per identificare tutte le modifiche, è consigliabile eseguire un’analisi del registro di sistema completa.
Inoltre, è fondamentale effettuare un backup del registro di sistema prima di apportare eventuali modifiche, in modo da poter ripristinare eventuali valori originali in caso di errore.
Come un Servizio SOCaaS può aiutare ad identificare e rispondere a Lockbit
Un Servizio di Sicurezza Operativa su Cloud (SOCaaS) può essere un alleato prezioso nella lotta contro gli attacchi Ransomware come Lockbit. Questo servizio fornisce una soluzione completa per la gestione della sicurezza informatica, compreso l’identificazione, la risposta e la prevenzione degli attacchi. Ecco come un SOCaaS può aiutare a gestire un attacco Lockbit:
- Identificazione precoce: Un SOCaaS utilizza tecnologie avanzate come l’Intelligence Artificiale e il Machine Learning per rilevare attività sospette sulle reti aziendali. Questo permette di identificare gli attacchi Lockbit in modo tempestivo, prima che il ransomware abbia la possibilità di crittografare i file e causare danni irreparabili.
- Analisi della minaccia: Una volta identificato l’attacco Lockbit, un SOCaaS può analizzare la minaccia per determinare la sua origine, la sua diffusione e la sua intensità. Questo aiuta a determinare la gravità dell’attacco e a sviluppare un piano di risposta adeguato.
- Risposta coordinata: Un SOCaaS fornisce un’equipe di esperti di sicurezza informatica che lavorano insieme per rispondere rapidamente agli attacchi Lockbit. Questi esperti utilizzano tecniche avanzate per mitigare la minaccia, ripristinare i file crittografati e proteggere la rete aziendale da eventuali future minacce.
- Prevenzione futura: Una volta che l’attacco Lockbit è stato gestito, un SOCaaS può aiutare a prevenire futuri attacchi simili. Questo può essere fatto tramite la formazione dei dipendenti, la revisione e il miglioramento delle politiche di sicurezza, l’implementazione di tecnologie avanzate come l’Intelligence Artificiale e il Machine Learning, e l’effettuazione di test di penetrazione per identificare eventuali vulnerabilità.
In sintesi, un Servizio SOCaaS può aiutare a identificare e gestire gli attacchi Lockbit in modo tempestivo e coordinato, fornendo una soluzione completa per la sicurezza informatica dell’azienda.
Come un Servizio SOC con EDR può aiutare ad identificare e rispondere a Lockbit
Un Servizio di Sicurezza Operativa (SOC) con Endpoint Detection and Response (EDR) può essere una soluzione potente per la gestione degli attacchi Ransomware come Lockbit. L’EDR fornisce una protezione avanzata degli endpoint, ovvero i dispositivi utilizzati da dipendenti e clienti per accedere alla rete aziendale. Ecco come un SOC con EDR può aiutare a gestire un attacco Lockbit:
- Protezione degli endpoint: L’EDR monitora costantemente gli endpoint per rilevare eventuali attività sospette o minacce. In caso di rilevamento di un attacco Lockbit, l’EDR blocca immediatamente la minaccia, impedendo al ransomware di diffondersi ulteriormente nella rete aziendale.
- Analisi dettagliata: L’EDR fornisce informazioni dettagliate sull’attacco Lockbit, inclusi l’origine, la diffusione e la gravità della minaccia. Queste informazioni aiutano a sviluppare un piano di risposta adeguato e a determinare la necessità di eventuali ulteriori misure di sicurezza.
- Risposta rapida: In caso di attacco Lockbit, l’EDR fornisce una risposta rapida, utilizzando tecniche avanzate per mitigare la minaccia e proteggere gli endpoint dai danni. Questo aiuta a limitare i danni causati dal ransomware e a ripristinare il più rapidamente possibile i file crittografati.
- Prevenzione futura: Una volta che l’attacco Lockbit è stato gestito, l’EDR fornisce una protezione continua per prevenire futuri attacchi simili. Questo può essere fatto tramite la formazione dei dipendenti, l’implementazione di politiche di sicurezza rigorose e l’utilizzo di tecnologie avanzate per identificare e prevenire eventuali minacce.
In sintesi, un Servizio SOC con EDR può aiutare a identificare e gestire gli attacchi Lockbit, fornendo una protezione avanzata per gli endpoint e una risposta rapida in caso di attacco. Questo aiuta a proteggere la rete aziendale e a prevenire futuri danni causati da ransomware come Lockbit.
Come un Servizio di Penetration Testing può aiutare ad identificare e rispondere a Lockbit
Un servizio di Penetration Testing può essere una soluzione efficace per identificare e rispondere a un attacco Ransomware come Lockbit. Questo servizio consiste nell’eseguire una simulazione di un attacco informatico sulla rete aziendale, al fine di identificare eventuali vulnerabilità che potrebbero essere sfruttate da un hacker o da un ransomware come Lockbit. Ecco come un servizio di Penetration Testing può aiutare a gestire questi tipo di problema
- Identificazione delle vulnerabilità: Il servizio di Penetration Testing identifica eventuali vulnerabilità presenti nella rete aziendale, che potrebbero essere sfruttate da un ransomware. Questo aiuta a prevenire futuri attacchi e a proteggere la rete aziendale.
- Verifica della sicurezza: Il servizio di Penetration Testing verifica l’efficacia delle soluzioni di sicurezza già in essere, al fine di garantire che siano adeguate a proteggere la rete aziendale da eventuali attacchi. In caso contrario, vengono identificate eventuali soluzioni da implementare per aumentare la sicurezza della rete.
- Valutazione del rischio: Il servizio di Penetration Testing valuta il rischio potenziale per la rete aziendale in caso di attacco, al fine di determinare la necessità di eventuali misure di sicurezza supplementari.
- Formazione del personale: Il servizio di Penetration Testing include anche la formazione del personale, al fine di garantire che tutti i dipendenti siano consapevoli delle minacce informatiche e sappiano come prevenirle. Questo aiuta a proteggere la rete aziendale da eventuali attacchi futuri.
In sintesi, un servizio di Penetration Testing può aiutare a identificare e gestire gli attacchi Lockbit, fornendo una valutazione del rischio e delle soluzioni di sicurezza già in essere, al fine di proteggere la rete aziendale da eventuali attacchi futuri. Questo servizio aiuta anche a formare il personale per prevenire futuri attacchi e a garantire la sicurezza della rete aziendale.
Rapporto FBI sugli Indicatori di Compromissione di Lockbit
Il Federal Bureau of Investigation (FBI) ha pubblicato un rapporto sugli Indicatori di Compromissione (IOC) di Lockbit, un ransomware che sta causando danni a molte aziende. Il rapporto fornisce informazioni dettagliate su come identificare se la tua azienda è stata attaccata da Lockbit e su come gestire l’attacco. Ecco alcune informazioni cruciali presenti nel rapporto FBI sugli IOC di Lockbit:
- Identificazione dei file cifrati: Il rapporto descrive come identificare i file cifrati da Lockbit, che sono solitamente contraddistinti da un’estensione specifica, ad esempio .lockbit.
- Modifiche alle chiavi di registro: Il rapporto descrive come il ransomware modifica le chiavi di registro del sistema operativo, al fine di impedire l’avvio di alcune applicazioni. Il rapporto fornisce informazioni dettagliate sui valori originari e quelli modificati dal ransomware.
- Comportamento di rete: Il rapporto descrive il comportamento di rete di Lockbit, che include la comunicazione con un server C&C (Command & Control) per la trasmissione di informazioni sulle vittime e la ricezione di istruzioni da parte del malware.
- Strumenti di rimozione: Il rapporto descrive gli strumenti di rimozione disponibili per gestire un’infezione da Lockbit, al fine di recuperare i file cifrati e ripristinare il sistema operativo.
In sintesi, il rapporto FBI sugli IOC di Lockbit fornisce informazioni cruciali per identificare e gestire un attacco da parte di questo pericoloso ransomware. Queste informazioni possono essere utilizzate dalle aziende per prevenire futuri attacchi e proteggere la loro rete aziendale.
Conclusioni
Lockbit è un malware noto che si diffonde attraverso exploit kit e phishing. Gli indicatori di compromissione possono aiutare i professionisti della sicurezza informatica a identificare la presenza del malware e prendere le misure necessarie per rimuoverlo. Per proteggersi da Lockbit e da altri malware simili, è importante seguire semplici misure di sicurezza come mantenere il software antivirus aggiornato, fare attenzione alle e-mail di phishing e eseguire backup regolari dei dati.
Useful links:
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 6 minutes L'impatto crescente delle minacce informatiche, su sistemi operativi privati op… https://t.co/FimxTS4o9G
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The growing impact of cyber threats, on private or corporate operating systems… https://t.co/y6G6RYA9n1
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Today we are talking about the CTI update of our services. Data security is… https://t.co/YAZkn7iFqa
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo peri… https://t.co/tfve5Kzr09
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The issue of information security is very topical in this historical period ch… https://t.co/TP8gvdRcrF
Newsletter
{subscription_form_2}Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Advanced persistent threat (APT): cosa sono e come difendersi Aprile 17, 2024
- Penetration Testing e MFA: Una Strategia Duplice per Massimizzare la Sicurezza Aprile 15, 2024
- SOAR e l’automazione della sicurezza informatica Marzo 27, 2024
- Penetration Testing: Dove Colpire per Proteggere la Tua Rete Informatica Marzo 25, 2024
- Ransomware: una piaga che mette in ginocchio aziende e istituzioni. Pagare o non pagare? Ecco la risposta. Marzo 6, 2024
Recensioni Google
Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!leggi di più
Ottimo supportoleggi di più
E' un piacere poter collaborare con realtà di questo tipoleggi di più
Un ottimo fornitore.
Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.leggi di più
Contatti
© 2023 Secure Online Desktop s.r.l. All Rights Reserved. Registered Office: via dell'Annunciata 27 – 20121 Milan (MI), Operational Office: via statuto 3 - 42121 Reggio Emilia (RE) – PEC [email protected] Tax code and VAT number 07485920966 – R.E.A. MI-1962358 Privacy Policy - ISO Certifications