Sintesi dei principali attacchi informatici sugli endpoint, sulle identità e negli ambienti cloud rilevati fino a oggi nell’anno 2022

Le aziende crescono e sviluppano nuovo business, ma si moltiplicano anche le possibilità di essere presi di mira dagli hacker. In questo articolo si analizzeranno alcuni dei più pericolosi attacchi informatici rilevati nei primi tre trimestri del 2022 anche perché comprenderne le cause e gli impatti consente alle aziende di rafforzare le proprie difese per il futuro.

Attacchi basati sugli endpoint

Negli ultimi due decenni gli attacchi agli endpoint si sono evoluti, dai virus informatici alle sofisticate campagne di Ransomware-as-a-Service (RaaS) anche su larga scala, consentendo anche ai criminali informatici con scarsa preparazione di poter trarre profitto.

I ransomware hanno attaccato diverse infrastrutture critiche delle imprese, tra cui:

  • Bernalillo County – Nel gennaio 2022, la zona più popolosa del Nuovo Messico ha subito un attacco che ha colpito molti dei sistemi e servizi governativi, costringendo i funzionari a chiudere al pubblico la maggior parte degli edifici.
  • Denso – A febbraio, Denso, azienda che fornisce componenti automobilistici a Toyota, Honda, Mercedes-Benz, Volvo, Fiat, General Motors e Ford, ha rilevato un accesso non autorizzato alla rete. L’attacco è stato rivendicato dal gruppo Pandora, che ha minacciato di divulgare 1,4 terabyte di trattative commerciali dell’azienda.
  • Trenitalia Gruppo Ferrovie dello Stato Italiano – A marzo un cryptolocker ha attaccato Trenitalia, e per un’intera giornata le biglietterie e i self service sono stati bloccati in via emergenziale causando disagi ai viaggiatori che volevano acquistare biglietti ferroviari.
  • Governo del Costa Rica – In aprile, gruppo Conti ha chiesto un riscatto da 20 milioni di dollari al governo del Costa Rica, bloccandone i servizi governativi, il ministero delle Finanze del Paese e i settori dell’importazione e dell’esportazione.
  • Spice Jet – A maggio, la seconda compagnia aerea indiana, SpiceJet, ha subito un attacco ransomware che ha provocato ritardi a cascata nei voli, bloccando molti passeggeri sia negli aeroporti che all’interno degli aerei.
  • Entrust – A giugno, la società di sicurezza e dei pagamenti digitali Entrust ha confermato che le proprie reti erano state violate, destando immediata preoccupazione nelle società che utilizzano tale software per l’autenticazione.
  • Knauf – A luglio, il gruppo Black Basta ha rivendicato la responsabilità di un attacco informatico a Knauf, la multinazionale nei materiali per l’edilizia, costringendo l’azienda a interrompere le operazioni commerciali e i processi di consegna.
  • Campagna Zeppelin – In agosto, FBI e CIS hanno condiviso gli indicatori noti di compromissione, nonché le tattiche, le tecniche e le procedure del malware Zeppelin, che funziona come RaaS ed è stato utilizzato contro istituti di istruzione, vendor tecnologici e organizzazioni del settore sanitario.
  • Campagna Vice Society – A settembre, FBI e CISA hanno pubblicato un avviso congiunto che mette in guardia sugli attacchi ransomware verso il settore Education da parte di Vice Society, in concomitanza con l’inizio dell’anno accademico 2022-2023.

Attacchi basati sulle identità

Con il lavoro in remoto, l’adozione diffusa dell’IoT e l’enorme numero di identità digitali create anche per una singola organizzazione, la superficie di attacco continua ad ampliarsi, rendendo le aziende vulnerabili allo sfruttamento dell’identità da parte di cyber criminali.

Attacchi ad Active Directory – Cisco

Active Directory (AD) funziona memorizzando le informazioni sugli oggetti di una rete in una gerarchia logica per rendere le informazioni facilmente reperibili da amministratori e utenti. Purtroppo, i cybercriminali sfruttano l’infrastruttura di AD soprattutto quando manca la protezione delle identità. Ad esempio, a fine 2021, sono state rilevate infezioni di BazarLoader, Cobalt Strike e del ransomware Conti per effettuare la ricognizione della rete al fine di rilevare utenti e computer, condivisioni di file e altro ancora.

La violazione di Cisco avvenuta nel maggio 2022 ha sfruttato le credenziali legittime dei dipendenti sincronizzate nel browser, insieme a una combinazione di attacchi di phishing vocale e tecniche MFA per ottenere l’accesso VPN alla rete bersaglio.

Attacchi alle piattaforme di gestione dell’identità: Okta e Lapsus$

A marzo, il gruppo criminale Lapsus$ ha pubblicato quantità sostanziali di codice sorgente dei prodotti Bing e Cortana di Microsoft insieme a screenshot del loro controllo su un account di “super-admin” di Okta, causando gravi problemi nella gestione delle identità compromesse e la reimpostazione delle password. Okta è una popolare piattaforma di gestione delle identità utilizzata da migliaia di imprese che consente agli utenti di accedere a più servizi e applicazioni attraverso un’unica interfaccia di login.

Poiché il ransomware e altre strategie di attacco prendono di mira Active Directory on-premises e Azure AD in cloud per l’accesso iniziale e il movimento laterale, la protezione delle identità è diventata un must per le organizzazioni.

Attacchi basati sugli ambienti cloud

L’accelerazione dagli ambienti on-premise verso quelli ibridi e cloud ha reso urgente per le aziende la necessità di mantenere i workload cloud al sicuro dagli hacker. I server cloud consentono alle aziende di scalare con facilità, aumentando l’efficienza, ma richiedono la protezione dei serverless workload e di Kubernetes, di macchine virtuali e container.

Servizi Web Amazon (AWS)

AWS è una piattaforma completa di cloud computing che fornisce una serie di servizi on-demand come l’archiviazione dei dati, la distribuzione dei contenuti, il networking e altro ancora. Uno dei servizi principali è Amazon Simple Storage Service (S3), un servizio di archiviazione di oggetti costruito per ospitare e recuperare quantità anche enormi di dati per i propri utenti. Gli oggetti (file) vengono archiviati in bucket S3 che fungono da contenitori per qualsiasi quantità di dati appartenenti a un account.

I bucket S3 di AWS sono diventati un obiettivo primario per gli hacker, poiché sono accessibili e spesso sono mal configurati. Una volta compromesso un bucket S3, si ha accesso a quantità incredibili di dati che si possono estrapolare e vendere su darknet.

Nel caso di Civicom, l’errata configurazione di un bucket S3 ha provocato un massiccio furto di dati, compromettendo oltre 100.000 file. Nella violazione avvenuta a luglio in Pegasus Airlines la compagnia aerea ha riferito che sono stati compromessi 6,5 terabyte di dati, con oltre 23 milioni di file esposti pubblicamente.

Vulnerabilità di Kubernetes

Kubernetes è un sistema open-source che automatizza la distribuzione, il ridimensionamento e la gestione delle applicazioni eseguite in container. Utilizza un’architettura a cluster composta da molti livelli di controllo e da una o più macchine virtuali o fisiche chiamate nodi worker. I nodi worker ospitano i “Pod”, ovvero i componenti dell’applicazione o del microservizio. I livelli di controllo invece stabiliscono le policy che gestiscono i worker node e i Pod nel cluster. Poiché il piano di controllo è responsabile dell’esecuzione su più endpoint per fornire una tolleranza ai guasti e un’elevata disponibilità, è un obiettivo prezioso per gli hacker che cercano di sfruttarne l’infrastruttura per un attacco denial of service.

Essendo spesso ospitato in un ambiente cloud, Kubernetes è affetto dagli stessi vettori di minaccia principali a cui sono soggetti i cloud:

Rischi della supply chain – Questi rischi possono verificarsi a livello di container se un container dannoso o un’applicazione di terzi fornisce ai criminali un punto di entrata nel cluster.

Cyber criminali – Gli hacker possono sfruttare vulnerabilità e configurazioni errate nei componenti dell’infrastruttura Kubernetes, consentendo loro di accedere da una posizione remota.

Minacce interne – Amministratori, utenti o fornitori di servizi cloud (CSP) possono accedere ai sistemi fisici o agli hypervisor che gestiscono i nodi Kubernetes. Questo livello di accesso potrebbe essere utilizzato per compromettere un ambiente Kubernetes.

Come contrastare gli attacchi?

Il 2022 è stato finora un anno complesso, che ha visto molti dipendenti delle aziende rientrare negli uffici oppure adottare spazi di lavoro ibridi, affrontando allo stesso tempo le conseguenze dell’incertezza geopolitica, della recessione economica e di sofisticati attacchi informatici. La disponibilità di più strumenti, accessi e connessioni ha indubbiamente favorito le aziende, ma ha anche aperto una superficie di attacco più ampia.

Sebbene nessuna azienda sia immune dagli attacchi informatici, esaminare con attenzione gli attacchi più pericolosi emersi nel corso del 2022 ci consente di prepararci meglio alla difesa. Le soluzioni autonome e guidate dall’intelligenza artificiale di SentinelOne possono contribuire a fornire una sicurezza completa a chi è alla ricerca di protezione degli endpoint, delle identità e del cloud.

Per ulteriori informazioni consultare www.sentinelone.com

Articolo a cura di Marco Rottigni

Condividi sui Social Network:

Articoli simili