Attacchi ibridi: quando la minaccia informatica supera il perimetro della rete

Pubblicato il 2 maggio 2024
Vectra AI

di Alessio Mercuri, Senior Security Engineer di Vectra AI

Oggi gli attacchi ibridi continuano a moltiplicarsi e a colpire le organizzazioni, come quello lanciato qualche mese fa da Mango Sandstorm e DEV-1084. Ma ci sono modi per fermarli.

Ammettiamolo: le strategie di difesa messe in atto di fronte agli attacchi informatici in genere non funzionano. Basate su firme, anomalie e regole progettate per rilevare ed evitare gli attacchi dei criminali informatici, non impediscono a 7 analisti su 10 in tutto il mondo di ammettere che la propria organizzazione è stata compromessa. Il motivo per cui ci troviamo in questa situazione è semplice: le superfici di attacco si stanno espandendo molto più rapidamente di quanto stia crescendo la velocità di risposta degli analisti e dalla tecnologia a loro disposizione.

Tutte le aziende sono diventate ibride… e così gli attacchi

Dobbiamo prendere le misure del cambiamento in atto. Tutte le aziende si sono spostate verso ambienti ibridi e multi-cloud. Per i criminali informatici, è un’occasione troppo ghiotta per resistere: si tratta di una nuova opportunità che stanno sfruttando, mettendo in campo nuovi metodi che consentono di eludere le linee Maginot erette dalle organizzazioni. Di conseguenza, una percentuale crescente di attacchi moderni è ibrida: l’anno scorso, la percentuale di violazioni basate sul cloud è stata stimata attorno al 50%. La caratteristica principale di un attacco ibrido è che può essere innescato in qualsiasi punto dell’infrastruttura, sfruttando le vulnerabilità o gli accessi compromessi su varie piattaforme, oppure sfruttando risorse cloud scalabili per aumentare limpatto.

Il caso dell’attacco Mango Sandstorm e DEV-1084

È il caso dell’attacco ibrido lanciato da Mango Sandstorm e Storm-1084, osservato lo scorso anno. Mango Sandstorm è uno state actor con stretti legami con il governo iraniano. Alleato del gruppo Storm-1084, ha fatto degli attacchi ibridi il suo modus operandi, prendendo di mira sia il cloud sia i servizi interni alle organizzazioni.

L’attacco lanciato da Mango Sandstorm e Storm-1084 nel 2023 si è manifestato per la prima volta in uno dei data center dell’organizzazione presa di mira. I criminali informatici sono riusciti a sfruttare una vulnerabilità su un server esposto su Internet. Hanno quindi preso il controllo remoto di questo server utilizzando un command and control (C&C) e hanno eseguito una discovery utilizzando strumenti Microsoft nativi. Hanno quindi iniziato una serie di movimenti laterali (basandosi su RPC, WMI, RDP…) tramite account compromessi. Utilizzando le credenziali rubate, si sono collegati al server Azure AD Connect e hanno ottenuto l’accesso a un altro account con privilegi elevati. L’attacco è stato in grado di progredire all’interno di Entra ID e Azure. Sono stati aggiunti diritti a un’applicazione esistente e manipolate le autorizzazioni dell’account e una progressione di privilegi ha permesso ai criminali informatici di diventare “Global Admins”, ossia amministratori generali del sistema, acquisendo diritti sulle sottoscrizioni Azure.

Lezioni per il futuro

Fortunatamente l’attacco è stato sventato. Il grande gruppo preso di mira da Mango Sandstorm e Storm-1084 disponeva di un sistema tecnologico di protezione che, grazie all’Intelligenza Artificiale, era in grado di rilevare qualsiasi tentativo di attacco con il massimo anticipo possibile. Questa tecnologia all’avanguardia ha identificato attività sospette nella rete e nell’ambiente Entra ID e ha individuato i movimenti laterali a tempo di record. In questo caso particolare, l’attacco si è svolto in più fasi nell’arco di diversi mesi, rendendo difficile il rilevamento ma dando più tempo per reagire.

Questo episodio, che si è concluso positivamente, è ricco di insegnamenti per il futuro. Due punti in particolare meritano di essere ricordati. In primo luogo, per difendersi dagli attacchi ibridi che sono diventati la norma, le organizzazioni devono analizzare il traffico di rete nella sua interezza, così come il comportamento degli utenti e gli ambienti cloud, al fine di rilevare e dare priorità alle minacce informatiche nell’ambiente ibrido. Allo stesso tempo, devono identificare i comportamenti sospetti post-operativi senza fare affidamento sulle firme che possono essere facilmente aggirate. Tutto questo deve essere possibile grazie a un segnale chiaro e azionabile, che offra ai team di sicurezza una visione unificata di tutte le macchine e gli account sospetti.

È, inoltre, importante capire che, nel caso dei moderni attacchi ibridi, le identità sono essenziali. Sono il collante tra i diversi domini di un’azienda e sono quindi preziose anche per gli attaccanti, che possono muoversi lateralmente e far progredire gli attacchi. Rilevare l’abuso di privilegi è essenziale: ecco un’altra lezione da trarre dall’attacco Mango Sandstorm.



Contenuti correlati

  • vectra ai
    Le competenze tecnologiche più richieste nell’era dell’AI

    di Brian Neuhaus, CTO per le Americhe di Vectra AI, e Sohrob Kazerounian, ricercatore specializzato in AI di Vectra AI La capacità dell’Intelligenza Artificiale e del Machine Learning di aumentare l’efficienza e di semplificare un gran numero...

  • Vectra AI
    Attacchi zero-day, un metodo efficace per gestirli

    L’Intelligenza Artificiale, integrata con le soluzioni di prevenzione, può rilevare i comportamenti degli attaccanti, offrendo ai team di security un segnale affidabile di Alessio Mercuri, Security Engineer di vectra.ai In base all’ultimo report diffuso dal Clusit, nei...

  • Vectra AI
    Attacco hacker globale: la prevenzione richiede aggiornamenti costanti e piena visibilità sugli ambienti

    di Massimiliano Galvagna, Country Manager Italia di Vectra AI L’allarme lanciato dall’Agenzia per la cybersicurezza nazionale su un attacco hacker globale condotto tramite ransomware conferma che l’attenzione alla sicurezza per molte aziende italiane è ancora troppo bassa....

  • I trend per la cybersecurity nel 2023 secondo Vectra AI

    Vectra AI ha pubblicato le sue previsioni per il 2023 relativamente alle tendenze emergenti che influenzeranno la cybersecurity nel corso dell’anno. “L’anno prossimo le organizzazioni dovranno affrontare un numero maggiore di minacce informatiche sconosciute che colpiscono i...

  • Nuove nomine in Vectra Ai

    Vectra AI, azienda specializzata in cybersecurity, ha nominato Teppo Halonen Vice Presidente EMEA, mentre Christian Borst ricoprirà il ruolo di Chief Technical Officer EMEA. Entrambi lavoreranno per sviluppare strategie di sicurezza e assistere i clienti nei progetti...

  • Nuovo Chief Marketing Officer a Vectra AI

    Vectra AI, azienda focalizzata sul rilevamento e la risoluzione delle minacce informatiche per imprese ibride e multicloud, ha nominato Tommy Jenkins Chief Marketing Officer (CMO). Jenkins supervisionerà tutte le iniziative strategiche di marketing di Vectra: aumentare la...

Scopri le novità scelte per te x