{"id":17561,"date":"2019-07-04T13:15:52","date_gmt":"2019-07-04T11:15:52","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17561"},"modified":"2020-11-12T19:55:10","modified_gmt":"2020-11-12T17:55:10","slug":"sodin-msp-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/sodin-msp-ransomware\/17561\/","title":{"rendered":"Il ransomware Sodin si insinua attraverso i Managed Service Provider"},"content":{"rendered":"<p>A fine marzo scorso, quando <a href=\"https:\/\/www.kaspersky.it\/blog\/msp-as-a-threat-vector\/17105\/\" target=\"_blank\" rel=\"noopener\">abbiamo parlato<\/a> dell\u2019attacco ransomware GandCrab rivolto ai clienti dei Managed Service Provider, avevamo predetto che probabilmente non sarebbe stato un caso isolato. Gli MSP sono un obiettivo troppo allettante per i cybercriminali e non possono ignorarlo.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n<p>E abbiamo avuto ragione. Ad aprile, il ransomware Sodin ha attirato l\u2019attenzione dei nostri esperti. \u00c8 diverso dagli altri perch\u00e9, oltre a sfruttare le falle nei sistemi di sicurezza degli MSP, approfitta anche di una vulnerabilit\u00e0 presente nella piattaforma Oracle WebLogic. Se normalmente un ransomware ha bisogno di un\u2019azione dell\u2019utente (per esempio, la vittima deve scaricare un file da un\u2019e-mail di phishing), in questo caso non \u00e8 nemmeno necessario.<\/p>\n<p>Per maggiori dettagli tecnici sulle tecniche impiegate da questo ransomware, potete leggere il nostro <a href=\"https:\/\/securelist.com\/sodin-ransomware\/91473\/\" target=\"_blank\" rel=\"noopener\">post su Securelist<\/a>. Dal nostro punto di vista, l\u2019aspetto pi\u00f9 interessante di questo malware riguarda i suoi metodi di diffusione.<\/p>\n<h2>Sodin e le sue tecniche per diffondersi<\/h2>\n<p>Affinch\u00e9 il malware potesse diffondersi attraverso <a href=\"https:\/\/threatpost.com\/new-sodinokibi-ransomware-exploits-critical-oracle-weblogic-flaw\/144233\/\" target=\"_blank\" rel=\"noopener nofollow\">WebLogic<\/a>, i cybercriminali hanno sfruttato la vulnerabilit\u00e0 CVE-2019-2725 per eseguire un comando PowerShell su un server Oracle WebLogic vulnerabile. Grazie a ci\u00f2, i cybercriminali hanno potuto caricare un dropper sul server per poi installare il payload, ovvero il ransomware Sodin. Le patch riguardanti questo bug sono gi\u00e0 state pubblicate ad aprile ma verso fine giugno \u00e8 stata riscontrata un\u2019altra vulnerabilit\u00e0 simile, la CVE-2019-2729.<\/p>\n<p>Durante gli attacchi che colpiscono i Managed Service Provider, Sodin s\u2019insinua nei dispositivi degli utenti in vari modi. Gli utenti di almeno tre provider diversi sono gi\u00e0 stati colpiti da questo Trojan e, secondo quanto <a href=\"https:\/\/www.darkreading.com\/attacks-breaches\/attackers-exploit-msps-tools-to-distribute-ransomware\/d\/d-id\/1335025\" target=\"_blank\" rel=\"noopener nofollow\">leggiamo su DarkReading<\/a>, in alcuni casi i cybercriminali hanno utilizzato le console di accesso da remoto Webroot e Kaseya per diffondere il Trojan. In altri casi, <a href=\"https:\/\/www.reddit.com\/r\/msp\/comments\/c2wls0\/kaseya_weaponized_to_deliver_sodinokibi_ransomware\/\" target=\"_blank\" rel=\"noopener nofollow\">come si evince su Reddit<\/a>, i cybercriminali sono penetrati nell\u2019infrastruttura MSP sfruttando il protocollo RDP, hanno ottenuto maggiori autorizzazioni, hanno disattivato le soluzioni di sicurezza e i backup e infine hanno scaricato il ransomware sui computer client.<\/p>\n<h2>Cosa possono fare i service provider?<\/h2>\n<p>Per cominciare, bisogna custodire in maniera efficace le password per l\u2019accesso a servizi in remoto e utilizzare l\u2019autenticazione a due fattori dove possibile. Entrambe le console Kaseya e Webroot per il controllo da remoto dispongono dell\u2019autenticazione in due passaggi. Inoltre, dopo l\u2019incidente, gli sviluppatori hanno iniziato a vietarne l\u2019uso ma, come abbiamo potuto constatare, i cybercriminali che si occupando di diffondere Sodin il pi\u00f9 possibile non si lasciano scappare nessun tipo di opportunit\u00e0 e sono intenzionalmente andati alla ricerca di varie tecniche di diffusione del malware sui Managed Service Provider. Per questo, \u00e8 molto importante tenere sempre sotto controllo tutti gli altri tool utilizzati in questo settore. L\u2019accesso da remoto, come abbiamo detto pi\u00f9 e pi\u00f9 volte, dovrebbe essere utilizzato come ultima risorsa.<\/p>\n<p>I Managed Service Provider, soprattutto se si occupano di cybersecurity, dovrebbero pensare seriamente alla protezione delle proprie infrastrutture e con molta pi\u00f9 seriet\u00e0 rispetto a quanto gi\u00e0 facciano quando si tratta della sicurezza dei propri clienti. <a href=\"https:\/\/www.kaspersky.it\/partners\/managed-service-provider?redef=1&amp;reseller=gl_kdmsp_acq_ona_smm__onl_b2b__wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Ecco cosa pu\u00f2 offrire Kaspersky agli MSP per proteggere se stessi e i propri clienti<\/a>.<\/p>\n<h2>Cosa possono fare le altre aziende?<\/h2>\n<p>Naturalmente, l\u2019aggiornamento dei software continua a essere un compito fondamentale. I malware che riescono ad accedere alle vostre infrastrutture grazie alle vulnerabilit\u00e0 scoperte e risolte da mesi sono un esempio lampante (e imbarazzante) di autogol.<\/p>\n<p>Le aziende che utilizzano Oracle WebLogic innanzitutto dovrebbero dare un\u2019occhiata alle Oracle Security Alert Advisories per le vulnerabilit\u00e0 <a href=\"https:\/\/www.oracle.com\/technetwork\/security-advisory\/alert-cve-2019-2725-5466295.html\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2019-2725<\/a> e <a href=\"https:\/\/www.oracle.com\/technetwork\/security-advisory\/alert-cve-2019-2729-5570780.html\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2019-2729<\/a>.<\/p>\n<p>Infine, \u00e8 opportuno avvalersi di una <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluzione di sicurezza affidabile<\/a> che disponga di sottosistemi in grado di identificare i ransomware e di proteggere le workstation.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>Il ransomware approfitta dell\u2019infrastruttura dei Managed Service Provider o della vulnerabilit\u00e0 di Oracle Weblogic per infettare e cifrare i sistemi delle vittime.<\/p>\n","protected":false},"author":2506,"featured_media":17562,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[2458,635],"class_list":{"0":"post-17561","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-msp","10":"tag-ransomware"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sodin-msp-ransomware\/17561\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sodin-msp-ransomware\/16108\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sodin-msp-ransomware\/13616\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sodin-msp-ransomware\/18005\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sodin-msp-ransomware\/16142\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sodin-msp-ransomware\/14883\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sodin-msp-ransomware\/18805\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sodin-msp-ransomware\/23051\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/sodin-msp-ransomware\/6113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sodin-msp-ransomware\/27530\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sodin-msp-ransomware\/11924\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sodin-msp-ransomware\/12167\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/sodin-msp-ransomware\/10922\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sodin-msp-ransomware\/19677\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sodin-msp-ransomware\/23581\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sodin-msp-ransomware\/18638\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sodin-msp-ransomware\/22925\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sodin-msp-ransomware\/22866\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17561","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2506"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=17561"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17561\/revisions"}],"predecessor-version":[{"id":23331,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17561\/revisions\/23331"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/17562"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=17561"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=17561"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=17561"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}