Il 22% degli incidenti informatici è condotto con strumenti legittimi impiegati in modo improprio

Il team Global Emergency Response di Kaspersky ha scoperto che circa un quinto (22%) degli attacchi informatici avvenuti in Italia e analizzati nel 2019 sono stati condotti tramite strumenti legittimi di gestione e amministrazione a distanza. La percentuale sale al 25% per l’Europa e al 30% a livello globale. Grazie all’impiego di strumenti legittimi per lanciare gli attacchi, gli attaccanti possono passare inosservati per un periodo maggiore di tempo. Ad esempio, i ripetuti attacchi di spionaggio informatico e il furto di dati riservati hanno avuto una durata media di 122 giorni. Questi risultati sono tratti dal nuovo Incident Response Analytics Report di Kaspersky1.

Il software di monitoraggio e gestione aiuta gli amministratori IT e di rete a svolgere le loro attività quotidiane, come la risoluzione dei problemi e il supporto tecnico ai dipendenti. Tuttavia, i criminali informatici possono anche sfruttare questi strumenti legittimi impiegandoli negli attacchi informatici all’infrastruttura di un’azienda. Questi software consentono loro di eseguire delle operazioni sugli endpoint, accedere ed estorcere informazioni sensibili, bypassando i diversi controlli di sicurezza che hanno lo scopo di rilevare i malware.

L’analisi complessiva dei dati anonimi dei casi di incident response (IR) ha evidenziato che gli attaccanti hanno utilizzato 18 diversi strumenti legittimi per scopi illeciti. Il più utilizzato è stato PowerShell (25% dei casi). Questo potente strumento di amministrazione può essere utilizzato per molteplici scopi, dalla raccolta di informazioni all’esecuzione di malware. Un secondo strumento, PsExec, console application progettata per eseguire operazioni su endpoint da remoto, è stato invece sfruttato nel 22% degli attacchi. Il terzo strumento più utilizzato è stato SoftPerfect Network Scanner (14%), destinato al recupero di informazioni sugli ambienti di rete.

Le percentuali sono maggiori se calcolate sui casi analizzati in Europa. PowerShell e PsExec sono stati utilizzati nel 50% dei casi, mentre SoftPerfect Network Scanner ha registrato il 37.5%.

Individuare gli attacchi condotti con strumenti legittimi è un compito difficile per le soluzioni di sicurezza, perché queste operazioni possono rientrare sia tra le attività pianificate di cybercrime che tra le regolari attività di un amministratore di sistema. Ad esempio, nel caso degli attacchi che si sono protratti per più di un mese, i cyber-incidenti hanno avuto una durata media di 122 giorni. Proprio perché non sono stati individuati, i criminali informatici hanno potuto acquisire i dati sensibili delle vittime.

Tuttavia, gli esperti di Kaspersky hanno osservato che in alcuni casi le azioni malevole compiute con software legittimo possono essere rilevate piuttosto rapidamente. Ad esempio, spesso vengono utilizzati negli attacchi ransomware e le conseguenze sono piuttosto evidenti. La durata mediana dell’attacco nei casi di azioni di breve durata è stata di un giorno.

Per sfuggire al rilevamento e rimanere invisibili in una rete compromessa il più a lungo possibile, gli attaccanti utilizzano di frequente software sviluppato per la regolare attività dell’utente, i compiti dell’amministratore e la diagnostica del sistema. Grazie a questi strumenti gli attaccanti possono raccogliere informazioni sulle reti aziendali e quindi effettuare movimenti laterali, modificare le impostazioni di software e hardware o anche effettuare azioni dannose di vario tipo. Ad esempio, potrebbero utilizzare un software legittimo per criptare i dati dei clienti. I software legittimi possono anche aiutare gli attaccanti a eludere i controlli dei security analyst, che spesso rilevano l’attacco solo dopo che sia avvenuto. Anche se non è possibile proibire l’utilizzo di questi strumenti per varie ragioni, i sistemi di rilevamento e monitoraggio correttamente implementati possono contribuire a rilevare attività sospette nella rete e attacchi complessi nelle fasi iniziali”, ha dichiarato Konstantin Sapronov, Head of Global Emergency Response Team di Kaspersky.

Per ridurre al minimo le possibilità che un software di gestione remota venga utilizzato per penetrare in un’infrastruttura, Kaspersky raccomanda di adottare le seguenti precauzioni:

  • Limitare l’accesso agli strumenti di gestione remota da indirizzi IP esterni e assicurarsi che le interfacce di controllo remoto siano accessibili solo da un numero limitato di endpoint
  • Applicare una politica rigorosa sulle password per tutti i sistemi IT ed implementare l’autenticazione a più fattori
  • Assegnare ai dipendenti account con privilegi limitati e concedere privilegi elevati solo a coloro che ne hanno bisogno per svolgere le loro mansioni.

 

Copia & Incolla: perché questo titolo? Perché i contenuti di questa categoria sono stati pubblicati SENZA ALCUN INTERVENTO DELLA REDAZIONE. Sono comunicati stampa che abbiamo ritenuto in qualche modo interessanti, ma che NON SONO PASSATI PER ALCUNA ATTIVITÀ REDAZIONALE e per la pubblicazione dei quali Tech Economy 2030 NON RICEVE ALCUN COMPENSO. Qualche giornale li avrebbe pubblicati tra gli articoli senza dire nulla, ma noi riteniamo che non sia corretto, perché fare informazione è un’altra cosa, e li copiamo ed incolliamo (appunto) qui per voi.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here