Di Ferdinando Mancini, Director, Southern Europe Sales Engineering, Proofpoint
I criminali informatici sono sempre più audaci e sofisticati nei loro metodi e si servono di spoofing o dell’appropriazione di account legittimi per violare la sicurezza aziendale e causare il massimo danno.
Attraverso la compromissione degli account dei fornitori, l’invio di malware e gli attacchi BEC (Business Email Compromise), i malintenzionati si impossessano delle credenziali degli utenti aziendali, trasformando supply chain ed ecosistema dei partner nel più recente vettore di attacco.
Secondo l’FBI Internet Crime Report 2023, gli attacchi BEC sono stati una delle principali preoccupazioni dello scorso anno, con un costo di oltre 2,9 miliardi di dollari.
Come proteggere quindi il personale dagli attacchi alla catena di approvvigionamento? Analizziamo le ultime tendenze nel panorama delle minacce e facciamo luce su queste tecniche.
Capire la compromissione degli account
Le minacce alla supply chain sono tra le forme più comuni e costose di attacco BEC. Non solo quattro aziende su cinque le subiscono ogni mese, ma è anche il fattore scatenante di circa un quinto degli incidenti ransomware.
Se in alcuni casi compromettere gli account dei fornitori può essere complesso, in altri richiede pochissime abilità. Uno dei metodi più semplici è lo spoofing dei domini di fornitori legittimi, non richiede credenziali o accesso all’account, ma è molto più facile da contrastare con semplici controlli e procedure, come l’implementazione del protocollo DMARC e la verifica dell’età del dominio.
Inoltre, i criminali informatici possono facilmente compromettere gli account legittimi e inserirsi nei flussi di email senza essere notati. Una volta entrati in comunicazione, sfruttano l’autenticità percepita per trasmettere payload pericolosi, effettuare richieste di pagamento fraudolente o raccogliere informazioni per compromettere altri account o aumentare i propri privilegi.
Le diverse tattiche e il livello di accesso richiesto per sferrare un attacco alla catena di approvvigionamento fanno sì che un singolo strumento o controllo non sia sufficiente a tenerli a bada. Le aziende necessitano invece di un approccio alla sicurezza basato sulla difesa in profondità, per proteggere l’intera catena di attacco e individuare le minacce ovunque abbiano origine.
La realtà di un attacco alla supply chain
Più si comprendono gli attacchi alla supply chain, meglio si è preparati a rilevarli e prevenirli prima che creino dei danni e non c’è modo migliore che esaminare esempi reali – purtroppo, numerosi.
Nel 2022, uno dei principali produttori di semiconduttori al mondo ha subìto un attacco ransomware a causa di un fornitore compromesso che si ritiene avesse subìto a sua volta un attacco ransomware nei mesi precedenti, probabilmente attribuibile a una campagna globale contro server VMware ESXi vulnerabili e privi di patch.
Qualunque sia stata la fonte, le conseguenze sono state significative, con l’interruzione dell’elaborazione di ordini e spedizioni e un costo per l’azienda di 250 milioni di dollari.
Il potenziale carico di un attacco alla supply chain, che si tratti di ritorni finanziari o interruzione estesa, è tale da aver attirato l’attenzione degli attori di minacce nation-state.
In quello che si ritiene essere il primo caso, un provider VoIP ha recentemente subìto un attacco alla catena di fornitura che ha distribuito malware a migliaia di suoi clienti. Ciò che lo differenzia è che un dipendente ha installato un pacchetto software che conteneva del malware distribuito attraverso una precedente compromissione della catena di fornitura iniziata presso un altro vendor.
Gli autori, che si ritiene siano membri del gruppo Kimsuky sostenuto dalla Corea del Nord, hanno effettivamente utilizzato un attacco alla catena di fornitura per portarne a termine un secondo, molto più vasto: una reazione da supply chain a supply chain.
Infine, un esempio sfortunato dell’ampiezza della portata di questi attacchi viene da Progress, che ha subìto un exploit di massa di una vulnerabilità zero-day nel suo software di file-transfer MOVEit.
Poiché MOVEit è utilizzato da migliaia di aziende in tutto il mondo, tra cui le principali compagnie aeree, petrolifere e agenzie governative, si stima l’esposizione di dati di almeno 62 milioni di persone. Anche se le conseguenze non saranno note prima di qualche anno, le perdite stimate si aggirano già intorno ai 10 miliardi di dollari.
L’anatomia di un attacco alla supply chain
Gli attacchi alla catena di approvvigionamento tradizionali prevedono tre fasi distinte:
- Forza bruta: durante la compromissione iniziale, gli attori delle minacce prendono di mira le aziende, di solito con pacchetti di attacchi o strumenti, per ottenere user e password. In questa fase non impersonano necessariamente qualcuno, ma colpiscono gli utenti con email di phishing o link e allegati dannosi contenenti key logger per raccogliere le credenziali.
- Ricognizione: ottenute le credenziali, gli attori si muoveranno lateralmente all’interno della rete, monitorando le comunicazioni con fornitori e clienti, puntando agli obiettivi più redditizi, e compromettendo potenzialmente altri account legittimi lungo la catena di fornitura con phishing delle credenziali o malware.
Una volta accertato che la loro esca possa apparire convincente, gli attori passano alla fase finale della catena di attacco.
- Ottenere denaro: fingendosi un fornitore di fiducia, invieranno fatture fittizie o modificheranno i dettagli di pagamento di quelle legittime per dirottare i fondi sul proprio conto.
Se un’azienda non riesce a implementare processi e controlli adeguati, questa fase dell’attacco è sorprendentemente semplice e si basa su legittimità, urgenza e ingegneria sociale, invece che sulla tecnologia.
Se anche un solo dipendente abbocca all’esca, l’attacco avrà successo e sarà improbabile che sia rilevato una volta che i fondi sono finiti nelle mani sbagliate.
Proteggere la supply chain
Per interrompere efficacemente la catena di attacco e bloccare questi attacchi, è necessario predisporre controlli e difese in ogni fase, dalla compromissione iniziale alla consegna.
Si parte dalla fase di compromissione iniziale della supply chain, il pre-takeover, con misure di base: password forti, autenticazione a più fattori e sofisticati controlli della posta elettronica per bloccare gli attacchi mirati. Anche la formazione in materia di sicurezza è fondamentale.
Il personale deve sapere come individuare un’esca di phishing o un payload dannoso e come reagire, mentre le aziende hanno bisogno di avere visibilità completa sugli account dei propri fornitori: chi è compromesso, come è avvenuto e chi ha rapporti con loro.
Naturalmente, nessuno di questi controlli rappresenta una soluzione assoluta. Tuttavia, quanto più si riescono a implementare rilevamento e prevenzione prima della consegna e ostacolare l’attore delle minacce nelle fasi iniziali, tanto più è probabile che si riesca a sventare un attacco.
Durante la fase di takeover è necessaria una difesa più profonda. Ciò significa sfruttare intelligence completa sulle minacce e analisi comportamentale basata su intelligenza artificiale per individuare ed evidenziare le attività sospette. In questa fase, è anche importante capire come l’account sia stato compromesso per bloccare e porre rimedio all’attacco in corso.
La velocità è fondamentale in questo caso. Più a lungo un avversario può agire all’interno del sistema di difesa, più ampia è la portata dei danni che può infliggere.
Questo porta alla fase post-takeover della catena di attacco. Anche in questo caso, non esiste un’unica soluzione per la bonifica. Bisogna invece impiegare numerose tattiche per allontanare il malintenzionato dalla rete che vanno dall’analisi delle minacce post-consegna, alla bonifica automatica delle e-mail dannose, alla modifica delle password e la revoca delle sessioni, fino all’indagine e al ripristino di qualsiasi alterazione apportata alle regole delle caselle di posta.
Non esiste una soluzione assoluta per fermare gli attacchi che hanno origine nella catena di fornitura, per controllarli è necessaria una serie di misure pragmatiche e preventive, che combinino semplici best practice, rilevamento avanzato, prevenzione e risposta rapida. Più protezioni si mettono in atto, più possibilità si avranno di ottenere risultati positivi.