Quasi un attacco informatico cu cinque tra quelli avvenuti in Italia, per l’esattezza il 22%, è stato sferrato utilizzando strumenti legittimi di gestione e amministrazione a distanza. E’ quanto emerge dall’Incident responce analytics report di Kaspersky, secondo cui la percentuale sale al 25% se si prende come campione l’Europa e al 30% considerando il panorama globale.
Grazie all’impiego di strumenti legittimi per lanciare gli attacchi – si legge in una nota della società specializzata in cybersecurity – gli attaccanti possono passare inosservati per un periodo maggiore di tempo. Ad esempio, i ripetuti attacchi di spionaggio informatico e il furto di dati riservati hanno avuto una durata media di 122 giorni.
Il software di monitoraggio e gestione aiuta gli amministratori IT e di rete a svolgere le loro attività quotidiane, come la risoluzione dei problemi e il supporto tecnico ai dipendenti – spiega Kaspersky – Tuttavia, i criminali informatici possono anche sfruttare questi strumenti legittimi impiegandoli negli attacchi informatici all’infrastruttura di un’azienda, eseguendo operazioni sugli endpoint, o accedendo e provando a estorcere informazioni sensibili, bypassando i controlli di sicurezza anti-malware.
L’analisi complessiva dei dati anonimi dei casi di incident response (IR) ha evidenziato che gli attaccanti hanno utilizzato 18 diversi strumenti legittimi per scopi illeciti, tra i quali il più utilizzato è stato PowerShell, che da solo ha totalizzato il 25% dei casi, seguito da PsExec, console application progettata per eseguire operazioni su endpoint da remoto, sfruttata nel 22% degli attacchi, e da SoftOerfect Network Scanner con il 14%.
“Per sfuggire al rilevamento e rimanere invisibili in una rete compromessa il più a lungo possibile, gli attaccanti utilizzano di frequente software sviluppato per la regolare attività dell’utente, i compiti dell’amministratore e la diagnostica del sistema – spiega Konstantin Sapronov, head of Global emergency response team di Kaspersky – Grazie a questi strumenti gli attaccanti possono raccogliere informazioni sulle reti aziendali e quindi effettuare movimenti laterali, modificare le impostazioni di software e hardware o anche effettuare azioni dannose di vario tipo. Ad esempio, potrebbero utilizzare un software legittimo per criptare i dati dei clienti. I software legittimi possono anche aiutare gli attaccanti a eludere i controlli dei security analyst, che spesso rilevano l’attacco solo dopo che sia avvenuto. Anche se non è possibile proibire l’utilizzo di questi strumenti per varie ragioni, i sistemi di rilevamento e monitoraggio correttamente implementati possono contribuire a rilevare attività sospette nella rete e attacchi complessi nelle fasi iniziali”.
Per ridurre al minimo le possibilità che un software di gestione remota venga utilizzato per penetrare in un’infrastruttura, Kaspersky raccomanda di limitare l’accesso agli strumenti di gestione remota da indirizzi IP esterni e assicurarsi che le interfacce di controllo remoto siano accessibili solo da un numero limitato di endpoint. Sarà poi importante applicare una politica rigorosa sulle password per tutti i sistemi IT ed implementare l’autenticazione a più fattori, e assegnare ai dipendenti account con privilegi limitati e concedere privilegi elevati solo a coloro che ne hanno bisogno per svolgere le loro mansioni.
