Nuova tipologia di attacco hacker

Nonostante l’aumento di massicci attacchi cripto-ransomware, una tendenza ancora più preoccupante è emersa nei dati raccolti dalla società di sicurezza CrowdStrike lo scorso anno e pubblicati nel “Casebook di Intrusion Services” del 2017. La maggior parte degli attacchi a cui la società ha risposto non ha sfruttato il malware basato su file, ma ha invece sfruttato una combinazione del software nativo dei sistemi delle vittime, del malware di sola memoria e delle credenziali rubate per ottenere l’accesso e persistere sulle reti targetizzate. E l’attacco medio è durato per 86 giorni prima di essere rilevato.

“Abbiamo scoperto che il 66% degli attacchi che avevamo esaminato erano privi di file o privi di malware“,

ha dichiarato Bryan York, direttore dei servizi di CrowdStrike, in un’intervista. “Questi attacchi avevano sfruttato una sorta di credenziali compromesse o una sorta di malware che viene eseguito solo in memoria”.

Alcuni di questi attacchi utilizzavano malware impiantato nella memoria di un sistema mirato sfruttando una vulnerabilità del software su un sistema raggiungibile da Internet come testa di ponte, oppure utilizzavano sistemi Web configurati male per ottenere l’accesso e, in alcuni casi, sfruttarono le funzionalità di Windows come PowerShell o Strumentazione gestione Windows (WMI) per stabilire backdoor persistenti e diffondersi lateralmente su reti mirate senza lasciare un’impronta di malware rilevabile dallo screening antivirus tradizionale. “Ovviamente, il malware di sola memoria è piuttosto difficile da proteggere”, ha detto York.




Alcuni di questi attacchi hanno offuscato la distinzione tra attività criminali e attacchi di attori statali – in gran parte, ha detto York, a causa della consapevolezza delle tattiche usate. Questo problema si estende ovviamente agli attacchi basati sul malware, come dimostrato dagli attacchi ransomware di quest’anno che utilizzavano metodi di auto-propagazione basati su strumenti delle perdite di Shadowbrokers.

In alcuni casi, il malware è stato utilizzato solo come “dropper” per introdurre malware di sola memoria. In un incidente segnalato da CrowdStrike, un allegato e-mail malizioso ha lanciato uno script PowerShell che ha creato una backdoor semplice e persistente. I comandi di PowerShell sono stati poi utilizzati “per estrarre un impianto Metasploit solo memoria”, hanno scritto i ricercatori di CrowdStrike nel rapporto Casebook 2017. “Ricostruendo, è apparso chiaro che questo codice di PowerShell era stato trasferito a tutti i sistemi POS (POS) sulla rete del cliente di oltre 14.000 sistemi e 160 controllori”

Altri attacchi “privi di malware” non avevano bisogno di quel livello di sofisticazione tecnica: sfruttavano gli strumenti di accesso remoto, come i server Remote Desktop Protocol o le connessioni di rete privata virtuale, per accedere alle reti delle vittime o attaccavano i portali di posta elettronica accessibili esternamente o applicazioni cloud, spesso utilizzando credenziali rubate tramite attacchi di phishing o spear phishing o altri metodi di social engineering.

Una delle cose che ho visto quest’anno è stato un aumento, quando si tratta di frodi telegrafiche, di sfruttare le credenziali compromesse per accedere a Office 365 e ai sistemi Outlook Web Access“, ha affermato York. “Spesso iniziano da una sorta di esercitazione di phishing in cui rubano le credenziali di qualcuno: è una grande tendenza nelle frodi telegrafiche: la scorsa settimana un cliente ha perso $ 3 milioni in una serie di tre transazioni in quel tipo di attacco”.

Negli oltre 100 casi in cui CrowdStrike ha indagato quest’anno, gli investigatori della società hanno scoperto che gli aggressori avevano un “tempo di permanenza” medio, ovvero il tempo intercorso tra il compromesso iniziale di una rete e il rilevamento di 86 giorni. “È una tendenza al ribasso,” notò York. “L’anno scorso eravamo da qualche parte nelle centinaia di giorni prima del rilevamento”, una cifra simile a quella riportata da altri ricercatori.

La diminuzione del tempo di sosta è indicativa dei risultati di maggiori investimenti interni da parte di aziende in tecnologia e personale dedicato al monitoraggio per attività dannose. Ciò si riflette anche nella maggiore percentuale di attacchi che sono stati rilevati dalle stesse organizzazioni interessate: il 68%, in aumento dell’11% rispetto ai dati di CrowdStrike dello scorso anno. Ma ci sono ancora casi in cui gli hacker sono rimasti all’interno delle reti per molti mesi (o anche anni) prima che i compromessi venissero rilevati, e una percentuale significativa di attacchi sono ancora scoperti solo tramite notifica da parte di terzi: un cliente, una banca, un pagamento società di elaborazione o forze dell’ordine.

Related posts

Leave a Comment

18 − six =