Diversi professionisti della sicurezza hanno affermato che le credenziali rubate su Exploit.in facevano parte di un’ondata di attacchi di compromissione della posta elettronica aziendale.
Un hacker ha iniziato a vendere l’accesso a centinaia di account di posta elettronica rubati di C-level. Le combinazioni di e-mail e password sono state vendute per qualsiasi per un valore da $ 100 a $1.500 su Exploit.in, un forum di hacker sotterraneo popolato da madrelingua russi.
Le informazioni di accesso riguardano gli account Office 365 e Microsoft di CEO, COO, CFO, CTO e altre posizioni senior, incluse le informazioni di accesso del CFO di un importante outlet europeo e dal CEO di una società di software con sede negli Stati Uniti.
La persona dietro la fuga di notizie ha affermato di avere centinaia di credenziali in vendita e gli esperti di settore confermano che, sebbene non sia ancora chiaro quanto sia originale o reale il lotto di informazioni, le conseguenze potrebbero essere devastanti per qualsiasi azienda citata nella fuga di notizie.
Avere l’accesso agli account e-mail e come possedere i “gioielli della corona” per chiunque cerchi di danneggiare un’azienda figuriamoci gli account dei dirigenti di livello C che sono parte ancora più integrante di un’azienda. Con l’accesso all’email dei dirigenti, non c’è limite a ciò che i criminali possono fare. Non solo possono inviare email di phishing per conto del dirigente per frodare l’azienda o i suoi clienti, ma possono impostare regole email che inoltrano automaticamente e-mail a un indirizzo e-mail esterno. Queste regole continueranno a funzionare anche se la password dell’account viene modificata.
Come è possibile che sia successo ?
È possibile che questi account di posta elettronica e password siano stati acquisiti tramite phishing o perché i dirigenti stessero riutilizzando la stessa password altrove. Il lotto di informazioni sugli account trapelate fa parte di una tendenza molto più ampia di criminali informatici che perseguono gli account di amministratori delegati e dirigenti di centinaia di aziende.
Più di recente, gli hacker hanno deciso di attaccare i dirigenti farmaceutici, e pare che il venditore che avrebbe avuto accesso ai dati è stato bandito dal forum per ragioni sconosciute. “Questa non è una pratica insolita nel sottosuolo economico perché quando una notizia provoca un aumento dell’attenzione indesiderata da parte di media, ricercatori e imitatori allo stesso modo, l’attore o gli attori in questione, compresi i moderatori e gli amministratori del forum, preferirebbero che le cose si calmassero sul forum prima di un “ritorno alla normalità”.
Exploit.in è un forum closed-source ben noto ed estremamente popolare che i criminali informatici utilizzano per esercitare il loro mestiere. Molti attori delle minacce accorrono al forum per vendere regolarmente l’accesso a centinaia o migliaia di credenziali ogni giorno, ha affermato.
Questi generi di situazioni e attacchi sono l’ennesimo esempio del motivo per cui è fondamentale che tutte le aziende, e in realtà chiunque utilizzi Internet, abbiano attivato l’autenticazione a più fattori. Ma alcuni si sono chiesti se l’autenticazione a più fattori fosse sufficiente per proteggere le informazioni sull’account considerando il numero di violazioni di Office 365 che continuano a verificarsi: le violazioni delle acquisizioni di account sono le più diffuse e in più rapida crescita, con un impatto negativo sulla reputazione delle organizzazioni e con conseguenze finanziarie.
La tendenza a compromettere gli account dei dirigenti coincide con l’ormai nota transizione verso lo smart-working, risultato della pandemia COVID-19 in corso.
La crescente frequenza di questi attacchi preoccupa gli analisti della sicurezza che hanno affermato che decine di migliaia di computer vengono infettati ogni settimana da Trojan per il furto di informazioni progettati per rubare tutte le credenziali di account che non sono inchiodate al desktop.
Un altro esempio è il fatto che la maggior parte delle aziende ha ancora centinaia se non migliaia di account che condividono una password con quelli rubati nella violazione di LinkedIn da oltre quattro anni fa, che se combinato con le credenziali raccolte tramite attacchi di phishing e queste informazioni ladri, “devi presumere che la maggior parte delle aziende abbia almeno una persona importante in una posizione simile”.
Secondo Richard Hosgood, direttore dell’ingegneria di Votiro, la tecnologia israeliana di CDR – Content Disarm and Reconstruction , i dirigenti di alto livello di molte aziende tendono ad avere un accesso simile agli amministratori nella loro rete aziendale.
Hosgood ha paragonato l’accesso al nome utente e alla password di un account di Office 365 al dare agli hackers l’accesso ai server aziendali interni perché la maggior parte degli account e delle password online sono sincronizzati tra Office 365 e i controller di dominio interni.
Crescita delle email aziendali compromesse
Diversi esperti di sicurezza hanno affermato che le credenziali rubate facevano parte di un’ondata di attacchi di compromissione della posta elettronica aziendale (BEC) che stanno diventando sempre più un grave problema per le aziende.
Le perdite associate alle BEC continuano ad aumentare: secondo l’Anti-Phishing Working Group, un gruppo senza scopo di lucro che lavora per analizzare le tendenze dell’attività di phishing, c’è stato un notevole aumento del costo medio di un bonifico bancario tramite un attacco BEC, da $ 54.000 nel primo trimestre del 2020 a $ 80.183 nel secondo quarto.
Le credenziali appartenenti a dipendenti di alto rango sono preziose per i malintenzionati, in quanto possono sfruttare i dati di accesso per eseguire attacchi aggiuntivi, come spear-phishing e frode. La ricaduta di una violazione delle credenziali si estende oltre un’azienda e ai suoi clienti. Gli account pertinenti possono contenere (o avere accesso a) informazioni incredibilmente sensibili.
Un utente malintenzionato che mette le mani sulle credenziali di account validi potrebbe infliggere danni incalcolabili: accedere a database interni, esfiltrare dati sensibili o lanciare attacchi di ingegneria sociale.
Mentre l’autenticazione a due fattori è meglio di niente, sta diventando sempre più chiaro che non è infallibile sulla base di attacchi precedenti. I criminali informatici ora discutono spesso sui metodi per aggirare l’autenticazione a due fattori sui forum: nel dicembre 2019 si è visto un utente di Exploit.in che ha creato un thread per vendere un processo che aggirerebbe i sistemi 2FA in una banca online con sede negli Stati Uniti. Il criminale informatico ha affermato che il loro sistema avrebbe consentito l’accesso a ogni sette-nove account su dieci senza richiedere la verifica tramite SMS e ha valutato la loro offerta a $ 5.000.
La peculiarità degli attacchi BEC sono è il fatto che si basino sul comportamento umano piuttosto che su una tecnologia sofisticata. Le tipiche truffe BEC utilizzano un’e-mail dall’aspetto autentico di un alto dirigente per indurre i subordinati a trasferire denaro.
Piuttosto che lanciare un attacco di massa contro centinaia o migliaia di obiettivi sconosciuti, le truffe BEC si concentrano su un singolo obiettivo. Gli aggressori ricercano pazientemente le aziende per individuare il dirigente giusto. Analizzano il sito Web dell’azienda e altre informazioni pubblicamente disponibili per identificare il personale senior, determinare la catena di comando, tenere traccia dei clienti importanti, persino studiare lo stile di posta elettronica del dirigente a cui si rivolgono, a volte effettuando ricerche per un mese o più.
Si stima che i criminali informatici useranno sempre più le truffe social engineering per entrare nella rete e rubare le credenziali di un dirigente. Quindi invieranno un’e-mail a un subordinato chiedendo il trasferimento immediato di fondi:
“È sempre per un motivo credibile: un’acquisizione dell’ultimo minuto o un pagamento in ritardo a un partner o fornitore. A causa dell’urgenza, il truffatore chiede al dipendente di trasferire i fondi a un account diverso dal solito e di mantenere riservate le proprie azioni. Grazie alla dovuta diligenza dell’hacker, l’e-mail sembra autentica e il dipendente trasferisce denaro, direttamente sul conto bancario del truffatore “. Alcuni criminali informatici sono in grado di falsificare le e-mail del CEO anche senza rubare le informazioni del loro account e molti attacchi BEC includono aggressori che si spacciano per clienti, dipendenti e fornitori”
Necessità di una “cultura della sicurezza”
Gli esperti di sicurezza hanno trasmesso una serie di soluzioni diverse a questi tipi di attacchi. E’ importante per tutti i dipendenti, inclusi i dirigenti, utilizzare password univoche e individuali per ogni account, abilitare l’autenticazione a più fattori o a due fattori se disponibile e monitorare regolarmente gli account per vedere se sono state impostate regole o se le sessioni sono attive che sembrano fuori posto.
Le aziende devono adottare una cultura della sicurezza a partire dalla leadership esecutiva, inclusa la garanzia che i dipendenti della direzione scelgano password complesse e non le riutilizzino su più siti Web o applicazioni “.
Ultimo ma non ultimo, dotarsi di soluzioni di cyber security innovative e adeguate alle continue evoluzioni di attacchi
Comments