Attacchi basati sugli endpoint, sulle identità e sugli ambienti cloud: sono queste le minacce più pericolose che le aziende si trovano sempre più diffusamente a dover affrontare. Complici il consolidamento del lavoro ibrido, la complessa situazione geopolitica, la trasformazione digitale e la recessione economica, questi incidenti si sono moltiplicati e non accennano a diminuire, decretando il 2022 come un anno particolarmente complesso sotto l’aspetto della difesa cyber.

Le aziende, sempre più consapevoli dei rischi, hanno investito e stanno investendo in più strumenti, compresi quelli per il controllo degli accessi e delle connessioni, ma resta di fatto che la superficie di attacco è sempre più ampia. Come comprendere su che cosa è prioritario e indicato spendere? Si può fare tesoro delle esperienze negative altrui per evitare di commettere gli stessi errori. È in quest’ottica che Marco Rottigni, Technical Director di SentinelOne, propone di esaminare con attenzione gli attacchi più pericolosi emersi nel corso del 2022.

Attacchi basati sugli endpoint

Sono fra i più diffusi, alimentati dalle sempre più sofisticate campagne di Ransomware-as-a-Service (RaaS) anche su larga scala, che consentono anche ai criminali informatici con una scarsa preparazione tecnica di poter guadagnare cifre ingenti.

Fra gli attacchi ransomware che hanno avuto maggiore eco mediatica SentinelOne ricorda quello ai danni di Bernalillo County a gennaio 2022, che ha colpito molti dei sistemi e servizi governativi, costringendo i funzionari a chiudere al pubblico la maggior parte degli edifici. A febbraio è stata la volta di Denso, azienda che fornisce componenti automobilistici a Toyota, Honda, Mercedes-Benz, Volvo, Fiat, General Motors e Ford. Il gruppo Pandora, che ha rivendicato l’attacco, ha minacciato di divulgare 1,4 terabyte di trattative commerciali dell'azienda.

A marzo sbarchiamo in Italia con il cryptolocker che ha attaccato Trenitalia Gruppo Ferrovie dello Stato Italiano, mandando fuori uso per un’intera giornata le biglietterie e i self service. L’elenco è lunghissimo ma il concetto è sempre uno: gli attacchi ransomware sfruttano sempre di più la tecnica della doppia estorsione e l’interruzione di servizi per incentivare le vittime a pagare, creando loro danni ingenti di immagine oltre che finanziari.

Attacchi basati sulle identità

Con il lavoro in remoto, l'adozione diffusa dell'IoT e l'enorme numero di identità digitali create anche per una singola organizzazione, la superficie di attacco continua ad ampliarsi, rendendo le aziende vulnerabili allo sfruttamento dell'identità da parte di cyber criminali. Un episodio chiarificatore di questo tipo di attacco è quello ai danni di Cisco.

La violazione di Cisco avvenuta nel maggio 2022 ha sfruttato le credenziali legittime dei dipendenti sincronizzate nel browser, insieme a una combinazione di attacchi di phishing vocale e tecniche MFA, per ottenere l'accesso VPN alla rete bersaglio.

A marzo è stata Okta a finire sotto ai riflettori. Il gruppo criminale Lapsus$ ha pubblicato quantità sostanziali di codice sorgente dei prodotti Bing e Cortana di Microsoft insieme a screenshot del loro controllo su un account di “super-admin” di Okta, causando gravi problemi nella gestione delle identità compromesse e la reimpostazione delle password. Okta è una popolare piattaforma di gestione delle identità utilizzata da migliaia di imprese che consente agli utenti di accedere a più servizi e applicazioni attraverso un'unica interfaccia di login.

È ormai assodato che il ransomware e altre strategie di attacco prendono di mira Active Directory on-premises e Azure AD in cloud per l'accesso iniziale e il movimento laterale, quindi la protezione delle identità è diventata un must per le organizzazioni.

Attacchi basati sugli ambienti cloud

L'accelerazione dagli ambienti on-premise verso quelli ibridi e cloud ha reso urgente per le aziende la necessità di mantenere i workload cloud al sicuro. I server cloud consentono alle aziende di scalare con facilità, aumentando l'efficienza, ma richiedono la protezione dei serverless workload e di Kubernetes, di macchine virtuali e container.

I bucket S3 di AWS sono diventati un obiettivo primario per gli attaccanti, poiché sono accessibili e spesso sono mal configurati. Una volta compromesso un bucket S3, si ha accesso a quantità incredibili di dati che si possono estrapolare e vendere su darknet. Né è un esempio lampante il caso di Civicom: l'errata configurazione di un bucket S3 ha provocato un massiccio furto di dati, compromettendo oltre 100.000 file.

Un problema simile riguarda Kubernetes, il sistema open-source che automatizza la distribuzione, il ridimensionamento e la gestione delle applicazioni eseguite in container. Utilizza un'architettura a cluster composta da molti livelli di controllo e da una o più macchine virtuali o fisiche chiamate nodi worker, che a loro volta ospitano i "Pod" - i componenti dell'applicazione o del microservizio. Poiché il piano di controllo è responsabile dell'esecuzione su più endpoint per fornire una tolleranza ai guasti e un'elevata disponibilità, è un obiettivo prezioso per gli attaccanti che cercano di sfruttarne l’infrastruttura per un attacco denial of service. Le falle nella configurazione di Kubernetes possono portare a rischi della supply chain e a minacce intere di vario tipo.