Per proteggerti dagli hacker preoccupati dell’authentication


05/08/2021

Per proteggerti dagli hacker preoccupati dell’authentication

 

Chi lavora nel settore della sicurezza IT lo sa: i ransomware sono una minaccia che promette di non fermarsi. 

Secondo l’analisi The State of Ransomware di Sophos, più della metà delle organizzazioni ha subito un attacco informatico ransomware nell’ultimo anno. Una volta caduti nella tela degli hacker purtroppo non c’è più scampo e non resta altro che cedere alle richieste criminali o ripristinare (dove e se possibile) l’intero sistema IT, entrambe opzioni molto costose. 

La vera mitigazione del rischio dovrebbe prima di tutto risiedere nella comprensione dei principali vettori d’attacco sfruttati da questo tipo di malware. Questa è l’unica soluzione che non solo evita il problema del ransomware, ma idealmente ne minimizza il rischio in modo permanente. Insomma, come al solito prevenire è meglio che curare. 

 
I tre fronti d’attacco per i ransomware 

1 - La tecnologia 

Come in molti altri scenari d’attacco, gli hacker sfruttano vulnerabilità e backdoor delle infrastrutture per i loro attacchi ransomware al fine di innestare i malware nel sistema. Un’infrastruttura diventa quindi vulnerabile quando si basa su sistemi senza patch aggiornate. 

Ad esempio, il famoso ransomware “Wannacry”, che ha guadagnato notorietà prendendo di mira intere università ed ospedali, colpisce esclusivamente i computer che eseguono versioni obsolete di Microsoft Windows. In questo modo ha potuto sfruttare più facilmente una vecchia falla di sistema per creare crash, bluescreen a ripetizione e bloccando gli utenti dai sistemi. 

Il caso Wannacry mostra quanto sia esteso il problema dei computer senza patch aggiornate, considerando che ha colpito 150 paesi e infettato più di 230.000 computer nel mondo. 

 

2 – Il controllo del processo 

Anche tenendo aggiornati i propri sistemi il pericolo non passa: la gestione delle patch comporta anche dei rischi. Il mancato controllo durante il trasferimento delle patch, per assicurarsi che provengano da fonti verificate, ed errori nella definizione delle modifiche da consentire può aprire le porte a malware di ogni tipo. 

È questo il caso di Solarwinds, provider di servizi di rete che ha subito un’infiltrazione hacker direttamente nella supply chain. Questo ha permesso l’inserimento di un Trojan nell’aggiornamento che circa 18.000 clienti hanno installato sui propri sistemi.  

Un attacco del genere, soprattutto se proveniente da un fornitore di fiducia, è difficile da rilevare per gli IT manager delle organizzazioni. L’aggiornamento compromesso ha permesso agli aggressori di infiltrarsi nelle reti di governo e private degli USA; tra le aziende colpite anche Microsoft, Nvidia, Intel e Cisco. 

 

3 – Le persone 

I dipendenti di un’organizzazione rimangono sempre un punto debole agli occhi di un hacker, in quanto possono facilmente essere indotti ad in iniziare un download da un sito web dannoso cadendo nelle classiche dinamiche del phising. 

Gli attacchi diretti agli individui suono aumentati di molto, soprattutto durante la pandemia di Covid-19, quando le persone sono passate in massa allo smart working. Ad oggi, anche al di fuori delle mura aziendali è più importante che mai prestare attenzione al comportamento dei dipendenti per quanto riguarda la sicurezza IT. 

Invece, secondo i dati raccolti, il 45% dei dipendenti di diverse aziende americane che sono passate al lavoro da remoto non hanno ricevuto alcune formazione sulla sicurezza IT. Così, l’insicurezza di molti dipendenti durante questa nuova situazione, ulteriormente aggravata dalla pandemia, li ha resi un bersaglio facile per gli hacker. 

Se i dipendenti non sono sufficientemente sensibilizzati sui pericoli che potrebbero affrontare possono diventare inconsapevolmente complici degli hacker. Questo avviene nella maggior parte dei casi quando viene chiesto di accedere ad un link o installare programmi che nascondono al loro interno dei ransomware. 

 

Il problema delle credenziali 

Anche supponendo che tutti i tre vettori d’attacco (tecnologia, processi e persone) siano stati perfettamente protetti contro gli attacchi, il rischio di accesso non autorizzato ai sistemi rimarrebbe ancora.  

La ragione sta nella natura “primitiva” dei dati di login, come ad esempio le credenziali: chi le possiede ottiene l’accesso al sistema e può fare quello che vuole. Se non ci sono prove che sia un’altra persona a possedere le credenziali il sistema non ha motivo di credere che si tratti di un attacco. Inoltre, se l’accesso va oltre il singolo computer e colpisce il sistema aziendale nel suo complesso, la diffusione e l’installazione dei malware si semplifica di molto. 

 

Questa problematica è riscontrabile anche nelle strategie di infiltrazione utilizzate da alcuni dei malware più diffusi: 

  • Dharma (o Crysis): usa metodi brute-force per accedere alla rete attaccando principalmente le credenziali “deboli”. 
  • Phobos Ransomware: utilizza anche connessioni RDP (controllo da remoto da un computer ad un altro) per infiltrarsi nelle reti. 
  • Sodinoki: accede tramite attacchi brute-force o phishing. 
  • Snake: si diffonde attraverso sistemi di controllo industriale utilizzando PSR aperti con password deboli. 

Da questi esempi è facile vedere come i malware sfruttino deliberatamente le credenziali d’accesso come una vulnerabilità a proprio favore. 

 

Quattro soluzioni per una authentication sicura 

La lotta contro i ransomware non è persa in partenza. Ci sono ancora misure utili per tenere fuori anche il ransomware più efficiente: 

1) La migliore protezione è un MFA (Multi-factor authentication) forte, che non possa essere rubata facilmente. Ciò significa che tutti i fattori devono essere privi di password, ad esempio fornendo l’autenticazione attraverso il possesso di un dispositivo autorizzato o di un elemento biometrico che non può essere falsificato. 

2) Dal momento che RDP e VPN sono un vettore d’attacco comune, soprattutto in tempi di lavoro a distanza, sarebbe bene avere un occhio di riguardo per queste tecnologie e mantenerli aggiornati regolarmente. 

3) La formazione dei dipendenti, in particolare sull’argomento ransomware, dovrebbe essere la prassi in ogni organizzazione. Il phishing rimane la linea principale d’attacco per gli hacker e una buona preparazione può fare la differenza. 

4) Il rischio non è mai eliminabile al 100%, motivo per cui la misura finale dovrebbe essere una buona strategia di riserva. Tale strategia di back up dovrebbe essere implementata il più presto possibile e tenuta aggiornata costantemente, per contenere il costo di un reset del sistema in caso di un’infezione ransomware. 

 

 

Il miglioramento dei sistemi di authentication è un primo passo per proteggersi adeguatamente dagli attacchi hacker. Vuoi sapere in dettaglio quali sono le opzioni che meglio si adattano alla tua azienda? Contattaci e te le illustreremo.