Luca Maiocchi, country manager di Proofpoint, analizza il preoccupante aumento degli attacchi
che sfruttano le identità, identificando tendenze e casi concreti
Le minacce all’identità non rappresentano una novità nel settore della cybersecurity. Tuttavia, in un mondo sempre più digitalizzato come quello odierno, le opportunità per i malintenzionati sono più numerose che mai e le identità degli utenti sono difficili da proteggere per le aziende. Le difficoltà sono dimostrate dall’aumento vertiginoso di questa tipologia di attacchi: solo nell’ultimo anno la Identity Defined Security Alliance ha riportato che ben l’84% delle aziende ha subito una violazione della sicurezza legata all’identità.
Per comprendere più a fondo lo scenario, è necessario analizzare statistiche e tendenze di questa tipologia di attacchi e mostrare alcuni casi di studio recenti per illustrarne il funzionamento, andando infine a evidenziare uno degli elementi più importanti relativi alle minacce all’identità: il fattore umano. Quest’ultimo gioca un ruolo cruciale nel successo di questi attacchi.
Comprendere questa tipologia di attacchi
Esistono diverse tipologie di attacchi all’identità. Quando la maggior parte delle persone pensa a questi reati, spesso immagina a dei scenari tradizionali, come:
- Furto di identità finanziaria: quando un criminale accede ai dati finanziari della vittima, ad esempio i dati della carta di credito, numeri di conto corrente o numero di previdenza sociale, per effettuare acquisti non autorizzati, prelevare soldi o aprire nuovi conti.
- Furto di identità fiscale: quando un malintenzionato utilizza le informazioni personali della vittima per presentare false dichiarazioni dei redditi e richiedere rimborsi, dirottando il denaro sui propri conti.
- Furto d’identità per motivi di lavoro: quando un aggressore utilizza l’identità della vittima per ottenere un lavoro, causando potenzialmente problemi alla persona in questione quando emergono discrepanze nei suoi registri di lavoro e fiscali.
Ad ogni modo, gli attacchi basati sull’identità prendono di mira anche le aziende e i loro utenti online. I criminali informatici dietro questi attacchi potrebbero essere finalizzati a rubare dati sensibili, sottrarre fondi, danneggiare o interrompere i sistemi, distribuire ransomware o peggio. Sono proprio queste le tipologie di attacchi che verranno analizzate nei paragrafi successivi.
Tendenze e tattiche
Gli attacchi che sfruttano l’identità rappresentano un calcolo pratico da parte dei malintenzionati: perché investire tempo e risorse per costruire exploit che li aiutino a entrare da una backdoor virtuale quando possono semplicemente entrare dalla porta principale? Tuttavia, prima di raccogliere i risultati, hanno ancora un po’ di lavoro da fare.
Ecco alcune tecniche che utilizzate dai criminali informatici quando portano avanti attacchi
basati sull’identità delle aziende e dei loro utenti:
- Attacchi di bypass MFA. Molte organizzazioni utilizzano l’autenticazione multifattoriale (MFA) per proteggere gli account dei propri utenti. È più sicura rispetto all’uso delle sole password, ma naturalmente i malintenzionati hanno trovato nuovi modi per aggirarle. Gli attacchi MFA Fatigue ne sono un esempio.
- Malware attivato dalle persone. Le persone spesso attivano involontariamente il malware quando cadono nelle trappole di phishing o altre tattiche di social engineering. Il malware può apparire sotto forma di file .zip, codice QR, link .html, file MS Office e molto altro ancora. Sono almeno 60 le tecniche conosciute per introdurre malware che vengono successivamente attivati dalle persone all’interno delle reti aziendali.
- Attacchi all’Active Directory (AD). La maggior parte delle aziende oggi utilizza l’AD come strumento principale per i servizi di directory, di autenticazione e di autorizzazione degli utenti. I criminali informatici sono propensi a colpire l’AD, che tocca quasi tutti i luoghi, persone e dispositivi di una rete e questo approccio funziona anche molto bene. Infatti, più della metà delle violazioni legate all’identità possono essere ricondotte all’AD.
- Raccolta di credenziali nella cache. Le credenziali sono comunemente memorizzate negli endpoint, in memoria cache, nel registro di sistema, in un browser o su disco. Gli aggressori utilizzano vari strumenti e tecniche per raccogliere queste credenziali e ottenere l’accesso a identità più privilegiate. Una volta raccolte, possono utilizzarle per spostarsi lateralmente e accedere a diverse applicazioni scalando i privilegi di accesso.
È probabile che i malintenzionati ottengano buoni risultati quando rubano le credenziali nella cache. Una recente ricerca di Proofpoint ha rilevato che più di un endpoint su 10 ha esposto password di account privilegiati, portandolo a essere uno dei più comuni rischi incentrati sull’identità.
Inoltre, bisogna tener presente che i criminali informatici sono sempre innovativi e pronti a costruire o adottare strumenti che possono aiutarli a essere più efficienti ed efficaci. L’utilizzo dell’intelligenza artificiale (AI) è solo l’ultimo esempio. Gli attaccanti possono utilizzare questa tecnologia per:
- Automatizzare attacchi di phishing.
- Creare video falsi realistici o registrazioni audio per l’impersonificazione.
- Automatizzare del processo di verifica delle credenziali di accesso rubate su siti e servizi.
- Creare attacchi social engineering altamente mirati
- Produrre identità false che possono essere utilizzate per creare account fraudolenti.
Il fattore umano
È necessario comprendere il modo attraverso cui le persone consentono ai criminali informatici di portare a compimento i loro attacchi. Al centro della compromissione dell’identità vi è l’ingegneria sociale, ovvero una tecnica in cui un aggressore sfrutta le emozioni umane, come paura e urgenza, per indurre la vittima a compiere un’azione che normalmente non farebbe. L’utente preso di mira potrebbe essere convinto o costretto a inviare denaro all’aggressore, a divulgare dati sensibili dei clienti o a rivelare le proprie credenziali.
Il fatto che l’ingegneria sociale sia così cruciale per il successo degli attacchi all’identità rende ancora più vitale per le aziende introdurre programmi di sensibilizzazione alla sicurezza per i propri dipendenti. La formazione sulla sicurezza può insegnare agli utenti come identificare e rispondere a questi attacchi e può contribuire a rafforzare il motivo per cui è essenziale proteggere con cura le proprie credenziali.
Casi studio
Come si presentano gli attacchi incentrati sull’identità nel mondo reale? Ecco due recenti esempi di cronaca che hanno coinvolto realtà molto note:
- Capita
- Nella primavera del 2023, gli aggressori – il gruppo ransomware Black Basta – hanno utilizzato un’email di phishing con un file .zip per compromettere un utente del gigante dell’outsourcing Capita. Una volta entrati nei sistemi aziendali, hanno utilizzato lo strumento open-source Mimikatz per estrarre le credenziali di Microsoft 365. Hanno usato tali credenziali per disabilitare l’accesso a Microsoft e per disabilitare diversi sistemi di sicurezza sull’endpoint compromesso.
- Black Basta è stato in grado di muoversi senza essere scoperti e ha rubato dati sensibili per un lungo periodo. Nell’ambito delle conseguenze della violazione, Capita dovrà pagare più di 26 milioni di dollari a causa della perdita dei dati di fornitori e clienti.
- Uber
- Nel settembre 2022, un aggressore affiliato al gruppo di minacce Lapsus$ ha compromesso l’account di un fornitore di Uber. Quest’ultimo ha ricevuto diverse notifiche MFA mentre il criminale informatico cercava di accedere all’account. Dopo vari tentativi, la vittima ha accettato una delle notifiche MFA arrivate.
- Dopo essere riuscito ad accedere, il malintenzionato ha ottenuto l’escalation dei privilegi per accedere a più sistemi e risorse. Tra questi, l’ambiente AWS dell’azienda, gli account G Suite e OneLogin. L’aggressore aveva anche accesso a Duo per l’autenticazione multifattoriale, il che significava che poteva aggirare l’MFA per qualsiasi altro sistema in cui volesse entrare.
Come mitigare e prevenire gli attacchi all’identità
L’educazione alla sicurezza è solo una parte di un approccio multiplo per aiutare a proteggere le identità privilegiate e ridurre il rischio di attacchi basati su di esse. Bisogna anche prendere in considerazione l’adozione di queste misure critiche:
- Verificare le lacune nella copertura della gestione degli accessi privilegiati (PAM). Questo include l’inventario di tutti gli utenti privilegiati – account umani e di servizio – nel proprio ambiente.
- Correggere le configurazioni errate delle identità AD. In questo modo, è possibile ostacolare i progressi di un aggressore che tenta di utilizzare un’identità vulnerabile per entrare in un dominio e ottenere l’accesso ad altri.
- Adottare un approccio proattivo per rimediare alle credenziali esposte sugli endpoint. Così facendo è più difficile per i malintenzionati raccogliere credenziali che possono essere utilizzate per spostarsi lateralmente o per aumentare i privilegi.