Lista dei desideri degli hacker: i 5 punti di ingresso più mirati

Nel panorama in continua evoluzione del crimine informatico, una verità rimane costante: le credenziali valide sono il biglietto d'oro. Nel 2023, le credenziali aziendali sono diventate il metodo preferito per compromettere le reti, alimentato da un ecosistema del cybercrime in piena espansione, traboccante di accessi rubati. Questo facile accesso è ulteriormente rafforzato da un'impennata delle attività legate agli infostealer (in aumento del 266% nel 2023).

Questo porta a una domanda: cosa cercano gli hacker quando acquistano queste credenziali? In TAG E KELA, abbiamo analizzato le attività sui forum del cybercrime per identificare i punti di accesso aziendali più mirati. Questo blog esplora questi dati, rivelando i principali obiettivi e, soprattutto, come gli attori delle minacce ottengono credenziali rubate per comprometterli.

Glossario

Prima di iniziare, chiariamo alcuni termini chiave che verranno utilizzati in questo blog:

Malware per il furto di informazioni (noto anche come infostealer): progettato per rubare informazioni sensibili, come credenziali salvate nel browser e dettagli personali, da un dispositivo infetto.

Bot: dispositivi infettati da malware per il furto di informazioni.

Log: dati e informazioni salvate nel browser rubati da questi dispositivi.

Log degli InfoStealer: una miniera d’oro per gli attaccanti

I log dei malware infostealer si sono dimostrati una fonte preziosa di informazioni per gli attori delle minacce che mirano ad attaccare le organizzazioni. Poiché molti dipendenti memorizzano le proprie password direttamente nei browser web, sia su dispositivi aziendali che personali, questa abitudine rappresenta un rischio significativo quando un infostealer riesce a infettare i loro sistemi. Il malware ruba account aziendali validi, come l'accesso a sistemi di gestione delle relazioni con i clienti (CRM), sessioni RDP e VPN, servizi cloud e varie altre risorse aziendali, consentendo agli attaccanti di accedere a risorse sensibili.

Per ottenere tali account, gli attori delle minacce non devono necessariamente avviare e gestire una campagna di furto di informazioni. Possono semplicemente acquistare credenziali aziendali su negozi automatici dedicati, come il Russian Market, tramite i "cloud di log" su Telegram, o su diversi forum del cybercrime, comunicando con venditori specifici, come i broker di accesso iniziale. Le conversazioni nel mondo del cybercrime offrono ai difensori una visibilità su quali risorse aziendali siano richieste dagli attaccanti intenzionati ad attaccare le organizzazioni.

Threat Actors Shopping List

TAG E KELA hanno osservato diversi attori che specificano il loro interesse sui forum di hacking attraverso post destinati ai cybercriminali impegnati in campagne di furto di informazioni. Questi post sono solitamente intitolati “Acquisto i miei link nei vostri log,” “Acquisto accesso aziendale dai log,” o “Acquisto log su richiesta” e includono:

• Una dichiarazione in cui un attore è pronto ad acquistare credenziali per risorse aziendali dai log di malware per il furto di informazioni

• Un elenco di stringhe specifiche nelle URL compromesse che sono di loro interesse (di solito URL di pagine di autenticazione, come <…>/+CSCOE+/logon.html)

• Un elenco di paesi in cui l'organizzazione potenzialmente vittima dovrebbe essere situata

• Un'indicazione che l'attore è interessato solo a “log unici” (cioè non log che sono stati messi in vendita su negozi automatici o come parte di servizi basati su cloud).

“CIAO A TUTTI. SE AVETE MOLTO TRAFFICO E AGGIORNAMENTI FREQUENTI, ACQUISTERÒ I MIEI LINK NEI VOSTRI LOG. SONO INTERESSATO A UNA COLLABORAZIONE PERMANENTE. NON PROPONETE PUBBLICAMENTE. VENDITA RISERVATA. PAGAMENTO STRETTAMENTE TRAMITE INTERMEDIARIO! PRIMO CONTATTO VIA DM.”

ATTORI DELLE MINACCE SU DIVERSI FORUM DI CYBERCRIME CHE CERCANO DI ACQUISTARE CREDENZIALI AZIENDALI DAI LOG

Gli screenshot sopra forniscono esempi di come gli attori delle minacce operano sui forum di cybercrime per acquistare accessi illeciti ai sistemi aziendali. Lo scopo principale di tali post è:

• Ottenere credenziali uniche (a differenza dei cloud di log dove i log sono disponibili per tutti gli abbonati).

• Ottenere queste credenziali su larga scala (a differenza dei negozi automatici dove devono essere acquistate una per una)

• L'interesse degli attori per stringhe specifiche ha permesso a TAG E KELA di identificare le risorse aziendali più mirate.

Obiettivi di Alto Valore: Punti di Accesso Più Frequentemente Mirati

TAG E KELA hanno analizzato migliaia di post di attori delle minacce che hanno regolarmente espresso interesse per risorse specifiche nel 2023-2024. Per ciascun attore delle minacce, TAG E KELA ha preso solo un post che indicava il loro interesse (poiché molti di loro ripubblicano periodicamente le stesse informazioni per trovare nuovi partner) ed estratto le stringhe menzionate.

Sulla base dell'analisi, le cinque principali risorse menzionate dagli attori delle minacce erano associate a:

• Vari prodotti di accesso remoto Citrix, come Workspace, Virtual Apps e Desktops, Gateway: basato su stringhe come /citrix/, citrixcloud, citrixportal, /vpn/tmindex.html, /LogonPoint/tmindex.html e simili

• VPN di Cisco, come WebVPN e AnyConnect: CSCOE, /+cscoe+/ e simili

• VPN Pulse Secure: /dana-na/

• Microsoft Remote Desktop Web Access: /rdweb/ e simili

• GlobalProtect di Palo Alto Networks: /global-protect/

  
  

In generale, c'è una significativa attenzione verso le stringhe relative a VPN e desktop remoto, con menzioni di stringhe generiche. Questo indica che le soluzioni VPN e desktop remoto sono obiettivi principali per gli attori delle minacce a causa del loro uso diffuso per fornire accesso remoto alle reti aziendali.

Alcune stringhe erano generiche o ampiamente utilizzate su più piattaforme (come /portal/, /secure/), indicando un ampio interesse per diversi punti di ingresso e servizi che potrebbero offrire accesso a dati preziosi. In media, ogni attore delle minacce aveva un elenco di 16 stringhe per post. Tuttavia, alcuni hanno dichiarato di essere pronti ad acquistare tutti i tipi di accesso remoto. Il numero massimo di stringhe elencate da un attore è stato di 42. Pertanto, TAG E KELA presumono che gli attori delle minacce intendano acquisire accesso a più obiettivi invece di concentrarsi su un singolo vettore di accesso iniziale associato a una soluzione specifica.

Utilizzare le Credenziali Aziendali per Gli Attacchi

Una volta acquisite dagli attori delle minacce, le credenziali aziendali compromesse consentono agli attaccanti di eseguire movimenti laterali all'interno delle reti, distribuire malware, accedere a dati sensibili e, infine, rubare informazioni, interrompere i sistemi, commettere frodi e altro ancora.

Ad esempio, uno degli attori che cercano accesso aziendale dai log, ‘hackerGPT’, gestisce un team che mira a rubare informazioni sensibili da reti compromesse. Loro dichiarano: “Ci posizioniamo come cacciatori di dati. Il nostro obiettivo è la documentazione NDA e altre [informazioni – TAG E KELA]. A causa della mancanza di materiale, abbiamo deciso di andare pubblici per trovare diversi partner che possano fornire al nostro team la quantità necessaria di accesso alle reti aziendali.”

Nei suoi altri post, questo attore sta reclutando tester di penetrazione qualificati e menziona software unici che possiedono, molto probabilmente riferendosi a malware personalizzati. Acquistare accesso aziendale dai log sembra essere solo uno dei modi per questo team per ottenere accesso iniziale, poiché hanno anche cercato di cooperare con botnet.

Alcuni dei molti post in cui hackerGPT cerca accesso aziendale, specificando che sono pronti ad acquistare “ACCESSO VPN A AZIENDE IN PAESI TIER1 CON UN REDDITO DI 50KK$, PRONTI AD ACQUISTARE A PARTIRE DA 1K$” e affermando che sono disposti a collaborare “SE HAI UNA BOTNET O UN STEALER E I TUOI LOG NON SONO MAI STATI PROCESSATI PER ACCESSO AZIENDALE PRIMA”

Cambio HealthCare Hack

L'attacco recente a Change Healthcare (di proprietà di UnitedHealth) mostra esattamente cosa è in gioco. Il CEO di UnitedHealth Group ha confermato che, in un attacco ransomware subito dalla compagnia a febbraio 2024, i criminali informatici hanno utilizzato credenziali rubate per accedere da remoto al portale Citrix di Change Healthcare, un servizio di accesso remoto che non aveva autenticazione a più fattori (MFA). Gli attaccanti si sono mossi lateralmente attraverso la rete compromessa e hanno utilizzato l'accesso per rubare dati per nove giorni prima di distribuire il ransomware.

TAG E KELA ha osservato diversi casi in cui credenziali compromesse per risorse di Change Healthcare, ottenute tramite malware per il furto di informazioni, sono state offerte in vendita o diffuse su piattaforme di cybercrime, alcune delle quali sono apparse solo pochi giorni prima dell'attacco. Anche se non è chiaro se l'attore abbia utilizzato queste credenziali per attaccare l'azienda, è un possibile vettore che potrebbe essere utilizzato.

Gli attori delle minacce che cercano di attaccare obiettivi di alto valore comprendono il valore delle credenziali aziendali rubate e probabilmente utilizzano la vasta quantità di esse fornite da diversi attori attivi su piattaforme di cybercrime. Solo nell'ultimo anno, TAG E KELA ha acquisito oltre 3,7 milioni di bot, illustrando l'offerta di informazioni da macchine infette con malware per il furto di informazioni. I punti di ingresso aziendali più popolari compromessi da queste infezioni includono CMS, email, autenticazione utenti, strumenti di comunicazione e servizi collegati ad ADFS.

RISORSE AZIENDALI PIÙ POPOLARI TRA LE CREDENZIALI RUBATE, RACCOLTE TRAMITE INFOSTEALER E ACQUISITE DA TAG E KELA

QUANTITÀ DI BOT ACQUISITI DA TAG E KELA DA GIUGNO 2023 A GIUGNO 2024

Conclusione e Raccomandazioni

Con l'aumento dell'attività degli infostealer e l'adattamento dell'ecosistema del cybercrime che consente la distribuzione delle informazioni rubate, è probabile che una catena di approvvigionamento di criminali informatici si basi su credenziali compromesse per risorse aziendali, in particolare quelle associate all'accesso remoto e, più specificamente, alle soluzioni VPN.

Pertanto, è cruciale implementare misure per proteggere i servizi sensibili:

• Autenticazione a più fattori (MFA): Implementare l'MFA su tutti gli account aziendali per garantire che, anche se le password vengono compromesse, l'accesso non autorizzato sia significativamente più difficile.

• Aggiornamenti regolari delle password: Applicare una politica che richieda ai dipendenti di aggiornare periodicamente le proprie password. Questa pratica riduce il rischio di esposizione delle credenziali in caso di violazione.

• Formazione sulla consapevolezza dei dipendenti: Educare i dipendenti sui rischi e le minacce degli attacchi di phishing e delle campagne di ingegneria sociale che possono veicolare malware per il furto di informazioni.

• Disabilitazione delle credenziali degli ex-dipendenti: Implementare un protocollo e un processo per eliminare immediatamente le credenziali degli ex-dipendenti al momento della loro partenza.

• Monitoraggio delle piattaforme di cybercrime: Monitorare le attività di cybercrime per identificare gli account compromessi relativi alle risorse aziendali.

Referenze:

1. IBM Report: Cybercriminals Intensify Attacks on User Identities in the UK, Complicating Recovery Efforts for Enterprises

2. Defender-in-the-middle: How to reduce damage from info-stealing malware

3. Telegram Clouds of Logs – the fastest gateway to your network

4. Testimony of Andrew Witty, Chief Executive Officer, UnitedHealth Group

Vuoi rimanere un passo avanti rispetto alle minacce informatiche?