Le aziende crescono e sviluppano nuovo business, ma si moltiplicano anche le possibilità di essere presi di mira dagli hacker. In questo articolo si analizzeranno alcuni dei più pericolosi attacchi informatici rilevati nei primi tre trimestri del 2022 anche perché comprenderne le cause e gli impatti consente alle aziende di rafforzare le proprie difese per il futuro.
Negli ultimi due decenni gli attacchi agli endpoint si sono evoluti, dai virus informatici alle sofisticate campagne di Ransomware-as-a-Service (RaaS) anche su larga scala, consentendo anche ai criminali informatici con scarsa preparazione di poter trarre profitto.
I ransomware hanno attaccato diverse infrastrutture critiche delle imprese, tra cui:
Con il lavoro in remoto, l’adozione diffusa dell’IoT e l’enorme numero di identità digitali create anche per una singola organizzazione, la superficie di attacco continua ad ampliarsi, rendendo le aziende vulnerabili allo sfruttamento dell’identità da parte di cyber criminali.
Active Directory (AD) funziona memorizzando le informazioni sugli oggetti di una rete in una gerarchia logica per rendere le informazioni facilmente reperibili da amministratori e utenti. Purtroppo, i cybercriminali sfruttano l’infrastruttura di AD soprattutto quando manca la protezione delle identità. Ad esempio, a fine 2021, sono state rilevate infezioni di BazarLoader, Cobalt Strike e del ransomware Conti per effettuare la ricognizione della rete al fine di rilevare utenti e computer, condivisioni di file e altro ancora.
La violazione di Cisco avvenuta nel maggio 2022 ha sfruttato le credenziali legittime dei dipendenti sincronizzate nel browser, insieme a una combinazione di attacchi di phishing vocale e tecniche MFA per ottenere l’accesso VPN alla rete bersaglio.
A marzo, il gruppo criminale Lapsus$ ha pubblicato quantità sostanziali di codice sorgente dei prodotti Bing e Cortana di Microsoft insieme a screenshot del loro controllo su un account di “super-admin” di Okta, causando gravi problemi nella gestione delle identità compromesse e la reimpostazione delle password. Okta è una popolare piattaforma di gestione delle identità utilizzata da migliaia di imprese che consente agli utenti di accedere a più servizi e applicazioni attraverso un’unica interfaccia di login.
Poiché il ransomware e altre strategie di attacco prendono di mira Active Directory on-premises e Azure AD in cloud per l’accesso iniziale e il movimento laterale, la protezione delle identità è diventata un must per le organizzazioni.
L’accelerazione dagli ambienti on-premise verso quelli ibridi e cloud ha reso urgente per le aziende la necessità di mantenere i workload cloud al sicuro dagli hacker. I server cloud consentono alle aziende di scalare con facilità, aumentando l’efficienza, ma richiedono la protezione dei serverless workload e di Kubernetes, di macchine virtuali e container.
AWS è una piattaforma completa di cloud computing che fornisce una serie di servizi on-demand come l’archiviazione dei dati, la distribuzione dei contenuti, il networking e altro ancora. Uno dei servizi principali è Amazon Simple Storage Service (S3), un servizio di archiviazione di oggetti costruito per ospitare e recuperare quantità anche enormi di dati per i propri utenti. Gli oggetti (file) vengono archiviati in bucket S3 che fungono da contenitori per qualsiasi quantità di dati appartenenti a un account.
I bucket S3 di AWS sono diventati un obiettivo primario per gli hacker, poiché sono accessibili e spesso sono mal configurati. Una volta compromesso un bucket S3, si ha accesso a quantità incredibili di dati che si possono estrapolare e vendere su darknet.
Nel caso di Civicom, l’errata configurazione di un bucket S3 ha provocato un massiccio furto di dati, compromettendo oltre 100.000 file. Nella violazione avvenuta a luglio in Pegasus Airlines la compagnia aerea ha riferito che sono stati compromessi 6,5 terabyte di dati, con oltre 23 milioni di file esposti pubblicamente.
Kubernetes è un sistema open-source che automatizza la distribuzione, il ridimensionamento e la gestione delle applicazioni eseguite in container. Utilizza un’architettura a cluster composta da molti livelli di controllo e da una o più macchine virtuali o fisiche chiamate nodi worker. I nodi worker ospitano i “Pod”, ovvero i componenti dell’applicazione o del microservizio. I livelli di controllo invece stabiliscono le policy che gestiscono i worker node e i Pod nel cluster. Poiché il piano di controllo è responsabile dell’esecuzione su più endpoint per fornire una tolleranza ai guasti e un’elevata disponibilità, è un obiettivo prezioso per gli hacker che cercano di sfruttarne l’infrastruttura per un attacco denial of service.
Essendo spesso ospitato in un ambiente cloud, Kubernetes è affetto dagli stessi vettori di minaccia principali a cui sono soggetti i cloud:
Rischi della supply chain – Questi rischi possono verificarsi a livello di container se un container dannoso o un’applicazione di terzi fornisce ai criminali un punto di entrata nel cluster.
Cyber criminali – Gli hacker possono sfruttare vulnerabilità e configurazioni errate nei componenti dell’infrastruttura Kubernetes, consentendo loro di accedere da una posizione remota.
Minacce interne – Amministratori, utenti o fornitori di servizi cloud (CSP) possono accedere ai sistemi fisici o agli hypervisor che gestiscono i nodi Kubernetes. Questo livello di accesso potrebbe essere utilizzato per compromettere un ambiente Kubernetes.
Il 2022 è stato finora un anno complesso, che ha visto molti dipendenti delle aziende rientrare negli uffici oppure adottare spazi di lavoro ibridi, affrontando allo stesso tempo le conseguenze dell’incertezza geopolitica, della recessione economica e di sofisticati attacchi informatici. La disponibilità di più strumenti, accessi e connessioni ha indubbiamente favorito le aziende, ma ha anche aperto una superficie di attacco più ampia.
Sebbene nessuna azienda sia immune dagli attacchi informatici, esaminare con attenzione gli attacchi più pericolosi emersi nel corso del 2022 ci consente di prepararci meglio alla difesa. Le soluzioni autonome e guidate dall’intelligenza artificiale di SentinelOne possono contribuire a fornire una sicurezza completa a chi è alla ricerca di protezione degli endpoint, delle identità e del cloud.
Per ulteriori informazioni consultare www.sentinelone.com
Articolo a cura di Marco Rottigni
I modelli di Intelligenza Artificiale (AI) stanno assumendo molto velocemente un grande ruolo nella vita…
Si avvicina la data del Forum Cyber 4.0, che il 3 e 4 Giugno 2024 riunirà a…
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…