I cybercriminali sono sempre in azione. E secondo Massimo Carlotti, Presales Team Leader di CyberArk, lo testimonia l’attacco phishing scatenato a marzo contro il sito dell’OMS.
Mentre i governi, le aziende e i singoli individui in tutto il mondo si trovano ad affrontare circostanze senza precedenti ed in rapida evoluzione, i cybercriminali ne stanno approfittando. Secondo Reuters, all’inizio di marzo un gruppo di attaccanti ha lanciato una campagna di phishing contro l’Organizzazione Mondiale della Sanità (OMS). Gli esperti ritengono che il sofisticato attacco sia stato orchestrato da un gruppo di stati nazionali con l’obiettivo di raccogliere le credenziali utilizzate dai dipendenti dell’OMS per accedere a sistemi e applicazioni critiche.
Alexander Urbelis, il ricercatore che per primo ha dato l’allarme identificando l’attacco dalla struttura dell’URL, ha spiegato che gli aggressori hanno utilizzato dei sottodomini nel tentativo di compromettere il servizio di single sign-on basato su Active Directory Federated Service dell’OMS.
Anche se non è andato a buon fine, si tratta di uno dei più recenti attacchi informatici rivolti all’agenzia e Flavio Aggio, Chief Information Security Officer dell’OMS, ha dichiarato che il numero di tentativi di compromettere l’organizzazione o di impersonarla per prendere di mira altri è “più che raddoppiato”.
Una nuova categoria di istituzioni sotto attacco
Questa impennata di attività pericolose ha un impatto su organizzazioni pubbliche e private (che in questa situazione si trovano ad operare con dinamiche diverse dal solito) ed in particolare quelle che si occupano di assistenza sanitaria, ricerca medica e soccorso.
Secondo il Wall Street Journal, la National Crime Agency del Regno Unito sta indagando su un presunto attacco ransomware contro una società di test antidroga che sviluppa vaccini. Anche l’ospedale Spallanzani di Roma, struttura primaria nella gestione dell’emergenza, ha subìto un tentativo di attacco a fine marzo.
Questa ondata di attacchi è particolarmente preoccupante perché si concentra su un nuovo insieme di istituzioni che non sono mai state prese di mira in precedenza su questa scala e con tale forza. Istituzioni che, oltre a difendersi, devono al tempo stesso affrontare la sfida e la complessità relative alla gestione di una forza lavoro quasi completamente remota.
Il problema nascosto e persistente e la necessità di interrompere la catena degli attacchi
Sebbene siano emerse alcune segnalazioni, molte organizzazioni potrebbero non sapere ancora di essere state prese di mira e compromesse.
Le situazioni di crisi possono creare un vuoto di informazioni ed eccezioni alle normali procedure (anche di sicurezza) che gli aggressori sfruttano per lanciare nuovi attacchi. E, mentre le organizzazioni sono diventate collettivamente più brave e più veloci a identificare le violazioni nel corso degli anni, il tempo di permanenza medio globale prima di qualsiasi rilevamento – esterno o interno – è ancora oggi di 78 giorni, un tempo sufficiente agli aggressori per trovare, accedere e rubare dati ed informazioni sensibili in abbondanza.
Come nel caso del tentato attacco all’OMS, la maggior parte dei criminali cerca in primo luogo di impossessarsi delle credenziali per compromettere un endpoint come un desktop, laptop, dispositivo mobile o server. Da lì conducono una ricognizione, per poi iniziare a muoversi lateralmente alla ricerca delle credenziali privilegiate necessarie per entrare in sistemi specifici. Una volta acquisite le credenziali legittime, è facile per gli attaccanti muoversi attraverso la rete senza essere scoperti e con privilegi crescenti alla ricerca del loro obiettivo.
Per identificare la minaccia, l’organizzazione deve avere un’elevata padronanza e conoscenza delle comunicazioni e delle autenticazioni legittime, altrimenti l’attaccante può facilmente passare inosservato e mettersi in attesa paziente (a volte completamente dormienti), mentre la realtà colpita concentra la sua attenzione altrove. Alcuni malintenzionati esfiltrano (ma sarebbe più appropriato dire “rubano”) a poco a poco informazioni sensibili, mentre altri aspettano il momento perfetto per sferrare un colpo devastante.
Con l’evolversi della situazione, possiamo aspettarci altri attacchi di questo tipo alle infrastrutture e agli asset critici. Le organizzazioni – in particolare le agenzie governative, le aziende private e i fornitori di servizi sanitari – devono essere iper-vigili e ridefinire il modo in cui valutano il rischio. La formazione dei dipendenti su phishing e altri metodi di attacco agli endpoint è un altro elemento fondamentale per evitare che gli attacchi abbiano successo. Ma non può finire qui.
Contrariamente a quanto si crede, il maggior rischio che le organizzazioni si trovano attualmente ad affrontare è di bloccare gli attaccanti prima che possano compromettere o accedere a dati e risorse critiche, e non quello di fermare l’intrusione iniziale, impossibile da impedire al 100 per cento. La gestione dell’accesso a credenziali e account privilegiati è un modo efficace per interrompere la catena degli attacchi, ridurre al minimo movimenti ed azioni dei malintenzionati e, in ultima istanza, prevenire data breach o disruption drastiche.