Sono 30.000 le organizzazioni che potrebbero essere già state colpite negli Stati Uniti, ma il numero a livello globale potrebbe essere molto più grande. L’ultimo controllo di Shodan da parte di Trend Micro, leader globale di cybersecurity, ha rivelato che sono circa 63.000 i server esposti vulnerabili a questi exploit.
L’applicazione immediata delle patch disponibili deve essere una priorità assoluta, oppure, ove non fosse possibile, è necessario disconnettere tutti i server vulnerabili che potrebbero essere in esecuzione. Al momento, chiunque abbia un server Microsoft Exchange deve investigare per verificare se ci sono segni di compromissione.
Che cosa è successo?
I primi attacchi risalgono al 6 gennaio scorso, quando un nuovo gruppo di minacce, etichettato da Microsoft con il nome di “Hafnium”, ha cominciato a sfruttare 4 bug zero-day all’interno di Microsoft Exchange Server. Le minacce utilizzavano dei virtual private server (VPS) negli Stati Uniti per nascondere la reale ubicazione. Microsoft ha fornito delle patch di emergenza la scorsa settimana. Le vulnerabilità possono essere sfruttate per eseguire codici, scrivere file, rubare dati e ulteriori azioni dannose come ad esempio la distribuzione di ransomware all’interno delle organizzazioni vittime.
In tutto il mondo c’è molta preoccupazione per la vasta portata di questa campagna cybercriminale e sono molte le istituzioni in allerta, come la Casa Bianca e la Cybersecurity and Infrastructure Security Agency (CISA).
Come sapere se si è stati colpiti?
Microsoft ha inizialmente affermato che Hafnium ha preso di mira organizzazioni in settori come quello della ricerca sulle malattie infettive, dell’istruzione, della difesa, legal e NGO. Esiste però l’ipotesi che l’ondata di attacco più recente possa essere opera di un altro gruppo cyber criminale e si possa abbattere su settori con meno risorse per la cybersecurity, come le PMI o le organizzazioni governative locali.
Chi utilizza Microsoft Exchange Server può seguire i seguenti passi per scoprire se è stato colpito dall’attacco:
- Scansionare i log di Exchange Server con lo strumento di rilevamento Microsoft per verificare la compromissione
- Effettuare una ricerca manuale con Trend Micro Vision One per verificare gli indicatori di compromissione conosciuti che sono associati a questa campagna
- Consultare la pagina dedicata con tutte le informazioni sulle protezioni Trend Micro specifiche per questa campagna cyber criminale
Come comportarsi in seguito all’analisi?
Se le scansioni non hanno rilevato alcuna compromissione è importante applicare le patch rilasciate da Microsoft il più in fretta possibile.
Se il sistema è invece stato colpito, bisogna attivare un piano di incident response. Di seguito i consigli Trend Micro:
- Nel caso non si disponga di un team di security interno, contattare immediatamente il vendor o il provider per un supporto
- Se si dispone di un team per la risposta agli incidenti, seguire i loro consigli
- Non utilizzare nessuna macchina senza che sia stata effettuata una scansione forense per accertare gli indicatori di compromissione
- Contattare il team legal per le eventuali procedure di notifica violazione