Attacchi informatici: ben poco è mutato, se non in peggio

Gli attacchi e i rischi continuano come e più di prima, anche in ambienti SaaS considerati sicuri. Cosa fare per mettersi al sicuro lo suggerisce CyberArk

 

La domanda che ci si pone di questi tempi è: non è che la pandemia a parziale ricompensa del danno e dei problemi causati abbia messo almeno parzialmente fuori gioco gli hacker?

Che magari qualcuno per la legge del taglione sia stato colpito dal virus, anche se diverso da quelli con  cui di solito è aduso ad attaccare il prossimo?

Beh, a quanto osserva Lavi Lazarovitz, Head of Security Research di CyberArk, sembra che ci sia poco da sperare e che valga più il detto che piove sul bagnato.

La realtà sembra essere che da quando la pandemia COVID-19 ha iniziato a diffondersi in tutto il mondo si è assistito ad attacchi informatici che hanno colpito le aziende già in pieno caos.

“Non lasciate che una buona crisi vada sprecata” è il mantra che i cyber criminali hanno da tempo sottoscritto, ed è chiaro dal loro comportamento dei mesi scorsi che stanno continuando a seguirlo.

Tuttavia, mentre alcuni attaccanti hanno intensificato gli sforzi per massimizzare i profitti in tempi di crisi, il loro approccio non è sostanzialmente cambiato.

Altro che Panta Rei.

Infatti, nuove ricerche di Microsoft, evidenzia Lazarovitz , indicano che gli attacchi malware legati al coronavirus sono stati “solo un blip” nel volume totale delle minacce che tipicamente rilevano ogni mese.

Il carattere e l’impatto globale della crisi hanno semplicemente facilitato il lavoro dei cyber criminali che continuano a utilizzare gli stessi metodi collaudati che hanno funzionato da molto prima del 2020 e cioè trovare un modo per entrare, mirare all’accesso privilegiato per sbloccare le porte e raggiungere l’obiettivo.

È con questo spirito che CyberArk ha voluto esaminare la tecnica di intrusione preferita dagli aggressori – il phishing – e una scelta diffusa del malware – il ransomware.

Il Phishing di Office 365 e l’ingegneria sociale

I cyber criminali sono psicologi per eccellenza. Studiano attentamente il comportamento umano per scoprire cosa ci entusiasma – e cosa ci porta a “fare clic”.

Capiscono che le persone desiderano ordine e sicurezza, sono curiose e vogliono rimanere informate.

Il phishing si alimenta di questi bisogni umani fondamentali e continua a essere altamente efficace. Secondo il DBIR 2020, è la forma numero uno di violazione sociale.

SI prenda ad esempio gli attacchi di phishing di Office 365. Anche se non sono di per sé una novità, negli ultimi mesi si è osservato un “colpo di scena” in questo approccio che mira a token temporanei (aka access token) generati per consentire il Single Sign-On (SSO) per Microsoft 365 e tutte le applicazioni Microsoft.

Rubando e utilizzando questi token temporanei, gli aggressori possono bypassare l’autenticazione multifattore (MFA) e persistere in rete “legittimamente” aggiornando il token. Inoltre, anche se un utente cambia la propria password, il token rimane valido e non può essere revocato.

Le applicazioni video e chat – come Microsoft Teams, Slack, WebEx, Zoom e Google Hangouts – sono diventate il nuovo volto dell’organizzazione in questo periodo di lavoro a distanza. Gli aggressori le hanno aggiunte alla loro lista di phishing, utilizzando le stesse tecniche generali che usano da sempre con la posta elettronica.

All’interno di queste applicazioni SaaS, possono facilmente distribuire file e codici pericolosi, e persino GIF per impossessarsi dei dati degli utenti, rubare le credenziali e rilevare account aziendali completi.

Oppure, compromettendo le identità digitali dei dipendenti – in particolare di utenti privilegiati come gli amministratori di sistema – gli aggressori possono sviluppare la persistenza e accedere ai dati sensibili inclusi in questi strumenti di collaborazione – report giornalieri, dati finanziari, IP e altro ancora.

Gli opportunisti del Ransomware

Il ransomware è più efficace quando si mira a informazioni critiche e time-sensitive. Con l’intensificarsi della pandemia, le segnalazioni di ransomware che hanno coinvolto ospedali e fornitori di servizi sanitari hanno sottolineato le conseguenze pericolose, anche mortali, di questi attacchi. Comprendendo che i tempi di inattività possono fare la differenza tra la vita e la morte, i cyber criminali hanno colpito queste organizzazioni, sapendo che spesso sarebbero disposte a pagare ingenti riscatti per ripartire in tempi brevi.

Ma, come si suo dire, l’appetito vien pranzando e gli aggressori hanno esteso la loro attenzione a un nuovo settore: le aziende di ricerca e sviluppo e di biotecnologia che lavorano per trovare una cura per il coronavirus. Con il progredire della ricerca sui vaccini, i criminali informatici hanno aumentato gli attacchi.

Gli aggressori APT, avverte Lazarovitz , lanciano attacchi RDP o prendono di mira gli endpoint dei dipendenti in cerca di credenziali privilegiate per entrare, muoversi lateralmente, restarci a lungo e rubare poco a poco le ricerche sensibili. In alcuni casi, possono attendere settimane o addirittura mesi per iniettare il ransomware.

Le ricerche di Microsoft mostrano come i gruppi criminali utilizzino i ceppi popolari, come Robbinhood, Maze e REvil, per lanciare attacchi APT di questo tipo.

In pratica, ma non è proprio il casi di dire mal comune mezzo gaudio, nessuna organizzazione è al sicuro dal ransomware. Si tratta di un vettore di attacco ampiamente utilizzato che continua a crescere in popolarità grazie alle più rischiose abitudini di lavoro da remoto e all’aumento del ricorso a Ransomware-as-a-Service.

Carpe Diem

Non siamo ancora fuori pericolo, evidenzia Lazarovitz, e c’è ancora molto da imparare, soprattutto in questo momento in cui le aziende valutano cambiamenti permanenti nelle loro policy di lavoro a distanza.

Ma questa prima fase ha rivelato alcune importanti verità sul modo in cui le persone si comportano e operano e su come le aziende debbano adattarsi a questa nuova realtà.

Ora è però il momento di esaminare le misure di sicurezza – in particolare come si stanno proteggendo gli accessi privilegiati – e tracciare il percorso per il cambiamento.

Cogliendo questa opportunità è possibile proteggere la propria azienda da ogni eventuale perdita e rafforzare la postura di sicurezza per garantire il successo oggi e in futuro.