Nelle scorse settimane, un’azienda italiana è stata vittima di una doppia compromissione ransomware.
Si tratta di un caso che dimostra come la mancanza di un approccio DFIR strutturato (Digital Forensics & Incident Response) possa condurre a una seconda compromissione, nonostante la presenza di backup integri e procedure di restore apparentemente corrette.
Per questo abbiamo scelto di analizzare nel dettaglio il caso e di condividere le principali evidenze tecniche e metodologiche emerse durante la gestione dell’incidente.
La risposta iniziale
La risposta iniziale dell’azienda, gestita internamente e senza il coinvolgimento di un team specializzato in Incident Response, si è limitata al reset delle credenziali degli amministratori di dominio e al ripristino dei dati dai backup.
Questa strategia, sebbene tempestiva, ha trascurato un passaggio cruciale: il cambio della password dell’account krbtgt, componente critico nel rilascio dei Ticket Granting Ticket (TGT) del protocollo Kerberos.
La mancata procedura di cambio password dell’account krbtgt ha permesso agli attaccanti di mantenere privilegi persistenti anche dopo il cambio delle password amministrative.
Inoltre, il ripristino di oltre 100 istanze Windows Server è avvenuto senza alcuna attività di bonifica, reintroducendo in produzione backdoor e meccanismi di persistenza precedentemente installati dai threat actor.
Persistenza, dwell time e seconda compromissione
È fondamentale ricordare che la fase di cifratura rappresenta solo l’atto finale di una compromissione.
Il cosiddetto dwell time, ovvero il periodo di permanenza silente dell’attaccante all’interno dell’infrastruttura, può estendersi per settimane, durante le quali vengono creati canali di Command & Control (C2), privilegi elevati e persistenze distribuite su più sistemi.
Nel caso analizzato, l’assenza di una fase di eradicazione ha consentito ai TA di sfruttare Golden Ticket generati dalla chiave krbtgt compromessa, di riattivare web shell e reverse shell dormienti, di utilizzare task schedulati e servizi malevoli rimasti nei backup, continuando a muoversi lateralmente tramite RDP tunneling e beacon C2.
Il risultato è stato una seconda compromissione avvenuta a distanza di poche settimane, con dinamiche simili e un impatto operativo considerevole.
L’intervento DFIR e la strategia di contenimento
Dopo la seconda compromissione, l’azienda ha finalmente coinvolto il team di Incident Response di CYBEROO, adottando un approccio strutturato basato sui principi DFIR. Abbiamo eseguito:
- Reset completo della password dell’account krbtgt con doppio cambio, invalidando i TGT generati in precedenza
- Threat hunting su larga scala con YARA e agent DFIR per identificare persistenze e IOCs (Indicators of Compromise)
- Eradicazione delle backdoor
- Segmentation review e policy hardening per ridurre la superficie di attacco e limitare movimenti laterali futuri.
Backup immutabili e limiti del restore
La disponibilità di backup immutabili ha rappresentato un punto di forza per la conservazione dell’integrità dei dati, ma non ha garantito la sicurezza complessiva dell’ambiente.
Senza un’attività approfondita di forensic triage, analisi dei log e eradicazione delle minacce, il rischio di una nuova compromissione resta elevato.
Il restore dei dati non interrompe la catena d’attacco se i vettori di persistenza non vengono identificati e rimossi in modo sistematico.
Oltre il restore: ripristinare la fiducia nei sistemi
La gestione di un incidente ransomware non può ridursi al semplice ripristino dei dati o al cambio delle password.
Un approccio realmente efficace deve includere containment immediato, bonifica dell’Active Directory, reset della password dell’account krbtgt, rimozione completa dei persistence mechanism e monitoraggio continuo post-incident, idealmente supportato da una soluzione MDR (Managed Detection & Response).
Senza un processo DFIR rigoroso, il rischio di una nuova compromissione è elevatissimo, con conseguenze dirette sulla business continuity, sui costi operativi e sulla capacità produttiva.
In scenari estremi, la mancata gestione corretta della risposta può portare all’interruzione della produzione e all’adozione di misure straordinarie, come la cassa integrazione. Questa esperienza dimostra che il restore dei dati non rappresenta la fine dell’incidente, ma solo l’inizio del processo di recupero della fiducia nei propri sistemi.
Solo un approccio scientifico e metodologicamente solido, fondato su analisi forense, eradicazione e monitoraggio post-incident, può garantire un reale ritorno alla sicurezza.
Di Andrea Coli – Incident Response Manager, CYBEROO
