techfromthenet
  • Home
  • Hardware
  • Mercato
    • Nomine
    • Accordi
    • Attualità
  • Mobile
    • Notebook
    • Smartphone
    • Tablet
  • Networking
  • Sicurezza
    • Software
    • Piattaforme
    • Analisi
  • Software
    • Produttività
    • Sistemi operativi
  • Storage
  • Cloud
  • test
  • Interviste
HomeSicurezzaNews analisiSupply chain e attacchi BEC: le tendenze nel panorama delle minacce

Supply chain e attacchi BEC: le tendenze nel panorama delle minacce

Gli attacchi alla catena di approvvigionamento tradizionali prevedono tre fasi distinte: forza bruta; ricognizione e infine ottenere denaro.

18 Luglio 2024 Ferdinando Mancini
supply chain

Le minacce alla supply chain sono tra le forme più comuni di attacco BEC. Ferdinando Mancini, Director, Southern Europe Sales Engineering, Proofpoint: meglio si comprendono gli attacchi, meglio si prevengono.

I criminali informatici sono sempre più audaci e sofisticati nei loro metodi. Si servono di spoofing o dell’appropriazione di account legittimi per violare la sicurezza aziendale e causare il massimo danno. Attraverso la compromissione degli account dei fornitori, l’invio di malware e gli attacchi BEC (Business Email Compromise), i malintenzionati si impossessano delle credenziali degli utenti aziendali. Trasformando così supply chain ed ecosistema dei partner nel più recente vettore di attacco.

Analisi del panorama delle minacce

Secondo l’FBI Internet Crime Report 2023, gli attacchi BEC sono stati una delle principali preoccupazioni dello scorso anno, con un costo di oltre 2,9 miliardi di dollari. Come proteggere quindi il personale dagli attacchi alla catena di approvvigionamento? Analizziamo qui di seguito le ultime tendenze nel panorama delle minacce e facciamo luce su queste tecniche.

Capire la compromissione degli account

Le minacce alla supply chain sono tra le forme più comuni e costose di attacco BEC. Non solo 4 aziende su 5 le subiscono ogni mese, ma è anche il fattore scatenante di circa un quinto degli incidenti ransomware. Se in alcuni casi compromettere gli account dei fornitori può essere complesso, in altri richiede pochissime abilità. Uno dei metodi più semplici è lo spoofing dei domini di fornitori legittimi. Non richiede credenziali o accesso all’account, ma è molto più facile da contrastare con semplici controlli e procedure, come l’implementazione del protocollo DMARC e la verifica dell’età del dominio.

Supply chain e attacchi BEC: le tendenze nel panorama delle minacce

Inoltre, i criminali informatici possono facilmente compromettere gli account legittimi e inserirsi nei flussi di email senza essere notati. Una volta entrati in comunicazione, sfruttano l’autenticità percepita per trasmettere payload pericolosi, effettuare richieste di pagamento fraudolente. Oppure raccogliere informazioni per compromettere altri account o aumentare i propri privilegi. Le diverse tattiche e il livello di accesso richiesto per un attacco alla catena di approvvigionamento fanno sì che un singolo strumento o controllo non sia sufficiente a tenerli a bada. Le aziende necessitano invece di un approccio alla sicurezza basato sulla difesa in profondità, per proteggere l’intera catena di attacco e individuare le minacce ovunque abbiano origine.

La realtà di un attacco alla supply chain

Più si comprendono gli attacchi alla supply chain, meglio si è preparati a rilevarli e prevenirli prima che creino dei danni. E non c’è modo migliore che esaminare esempi reali, purtroppo, numerosi. Nel 2022, uno dei principali produttori di semiconduttori al mondo ha subìto un attacco ransomware a causa di un fornitore compromesso. Fornitore che si ritiene avesse subìto a sua volta un attacco ransomware nei mesi precedenti. Probabilmente da attribuire a una campagna globale contro server VMware ESXi vulnerabili e privi di patch. Qualunque sia stata la fonte, le conseguenze sono state significative con l’interruzione dell’elaborazione di ordini e spedizioni e un costo per l’azienda di 250 milioni di dollari.

Supply chain e attacchi BEC

Il potenziale carico di un attacco alla supply chain, che si tratti di ritorni finanziari o interruzione estesa, è tale da aver attirato l’attenzione degli attori di minacce nation-state. In quello che si ritiene essere il primo caso, un provider VoIP ha recentemente subìto un attacco alla catena di fornitura che ha distribuito malware a migliaia di suoi clienti. Ciò che lo differenzia è che un dipendente ha installato un pacchetto software che conteneva del malware distribuito attraverso una precedente compromissione della catena di fornitura iniziata presso un altro vendor.  Gli autori, che si ritiene siano membri del gruppo Kimsuky sostenuto dalla Corea del Nord, hanno effettivamente utilizzato un attacco alla catena di fornitura. Questo per portarne a termine un secondo, molto più vasto: una reazione da supply chain a supply chain.

Perdite per miliardi di dollari

Infine, un esempio sfortunato dell’ampiezza della portata di questi attacchi viene da Progress. La società ha subìto un exploit di massa di una vulnerabilità zero-day nel suo software di file-transfer MOVEit. Poiché MOVEit è utilizzato da migliaia di aziende in tutto il mondo. Tra queste le principali compagnie aeree, petrolifere e agenzie governative: si stima l’esposizione di dati di almeno 62 milioni di persone. Anche se le conseguenze non saranno note prima di qualche anno, le perdite stimate si aggirano già intorno ai 10 miliardi di dollari.

L’anatomia di un attacco alla supply chain

Gli attacchi alla catena di approvvigionamento tradizionali prevedono tre fasi distinte:

  • Forza bruta. Durante la compromissione iniziale, gli attori delle minacce prendono di mira le aziende, di solito con pacchetti di attacchi o strumenti, per ottenere user e password. In questa fase non impersonano necessariamente qualcuno. Piuttosto colpiscono gli utenti con email di phishing o link e allegati dannosi contenenti key logger per raccogliere le credenziali.
  • Ricognizione. Ottenute le credenziali, gli attori si muoveranno lateralmente all’interno della rete monitorando le comunicazioni con fornitori e clienti, puntando agli obiettivi più redditizi. E, infine, compromettendo potenzialmente altri account legittimi lungo la catena di fornitura con phishing delle credenziali o malware. Una volta accertato che la loro esca possa apparire convincente, gli attori passano alla fase finale della catena di attacco.

Terzo e ultimo step

  • Ottenere denaro. Fingendosi un fornitore di fiducia, invieranno fatture fittizie o modificheranno i dettagli di pagamento di quelle legittime per dirottare i fondi sul proprio conto. Se un’azienda non riesce a implementare processi e controlli adeguati, questa fase dell’attacco è sorprendentemente semplice. Una fase che si basa su legittimità, urgenza e ingegneria sociale, invece che sulla tecnologia. Se anche un solo dipendente abbocca all’esca, l’attacco avrà successo e sarà improbabile che sia rilevato una volta che i fondi sono finiti nelle mani sbagliate.

Supply chain e attacchi BEC: le tendenze nel panorama delle minacce

Per interrompere efficacemente la catena di attacco e bloccare questi attacchi, è necessario predisporre controlli e difese in ogni fase, dalla compromissione iniziale alla consegna. Si parte dalla fase di compromissione iniziale della supply chain, il pre-takeover. Con misure di base, come password forti, autenticazione a più fattori e sofisticati controlli della posta elettronica per bloccare gli attacchi mirati. Anche la formazione in materia di sicurezza è fondamentale.

Necessaria una difesa più profonda

Il personale deve sapere come individuare un’esca di phishing o un payload dannoso e come reagire. Mentre le aziende hanno bisogno di avere visibilità completa sugli account dei propri fornitori: chi è compromesso, come è avvenuto e chi ha rapporti con loro. Naturalmente, nessuno di questi controlli rappresenta una soluzione assoluta. Tuttavia, quanto più si riescono a implementare rilevamento e prevenzione prima della consegna e ostacolare l’attore delle minacce nelle fasi iniziali, tanto più è probabile che si riesca a sventare un attacco. Durante la fase di takeover è necessaria una difesa più profonda. Ciò significa sfruttare intelligence completa sulle minacce e analisi comportamentale basata su intelligenza artificiale per individuare ed evidenziare le attività sospette. In questa fase, è anche importante capire come l’account sia stato compromesso per bloccare e porre rimedio all’attacco in corso.

Non esiste un’unica soluzione

La velocità è fondamentale in questo caso. Più a lungo un avversario può agire all’interno del sistema di difesa, più ampia è la portata dei danni che può infliggere. Questo porta alla fase post-takeover della catena di attacco. Anche in questo caso, non esiste un’unica soluzione per la bonifica. Bisogna invece impiegare numerose tattiche per allontanare il malintenzionato dalla rete. Si va dall’analisi delle minacce post-consegna alla bonifica automatica delle e-mail dannose, alla modifica delle password e la revoca delle sessioni. Fino all’indagine e al ripristino di qualsiasi alterazione apportata alle regole delle caselle di posta. Non esiste una soluzione assoluta per fermare gli attacchi che hanno origine nella catena di fornitura. Per controllarli è necessaria una serie di misure pragmatiche e preventive, che combinino semplici best practice, rilevamento avanzato, prevenzione e risposta rapida. Più protezioni si mettono in atto, più possibilità si avranno di ottenere risultati positivi.

 

Related Posts:

  • Proofpoint sicurezza cloud
    Interrompere la catena dei cyberattacchi con le…
  • phishing
    Phishing, il principale pericolo per la sicurezza delle PMI
  • sicurezza informatica CISO
    Sicurezza informatica, come cambia la figura del CISO?
  • big data
    Big data e raccolta dati, come evolve il mercato?
  • Identità digitale
    Identità digitale sotto attacco e soprattutto in Europa
  • cybersecurity
    Misure di cybersecurity di base, perché adottarle è…
  • account
  • compromissione
  • cybersicurezza
  • spoofing
  • tecnologia
hitachiPrecedente

Hitachi Vantara: con VSP One assicura il 100% della disponibilità dei dati

NIS 2 cybersecuritySuccessivo

Cybersecurity: è necessario un cambio di prospettiva

ULTIMI ARTICOLI

Lazarus

I cyberattacchi Lazarus colpiscono la Corea del Sud

curation

La curation supply-side ridefinisce l’inventory pubblicitario

NetApp

NetApp ONTAP, storage certificato per NVIDIA

intelligenza artificiale

Intelligenza artificiale nelle tecnologie EDR e XDR

trasformazione digitale

ServiceNow pone l’AI alla base della trasformazione digitale

FOCUS

intelligenza artificiale

Intelligenza artificiale: il motore turbo per le aziende

lavoro ibrido

Lavoro ibrido e digital workplace per le aziende PMI

industry 5.0

Industry 5.0 e Smart Factory: soluzioni e progetti

data center

La trasformazione dei data center, tra AI e sostenibilità

lavoro ibrido smart working

Smart working e digital workplace anche per le PMI

SPECIALE SICUREZZA

intelligenza artificiale

Intelligenza artificiale nelle tecnologie EDR e XDR

Cybersecurity

Cybersecurity: la decima edizione di ConfSec, il 13 giugno a Bari

crisi

Semperis Ready1 rivoluziona la gestione delle crisi informatiche

IEC 62443

ASUS IoT è certificata cybersecurity IEC 62443-4-1

nozomi networks reti private

Reti private 5G, Nokia MX Industrial Edge integra Nozomi Networks

SCOPRI IL MONDO QNAP

TEST

videosorveglianza

Synology CC400W, videosorveglianza con intelligenza artificiale

nas qnap

NAS QNAP TS-h765eU, edge storage a profondità ridotta

NAS Synology

NAS Synology DS224+, storage compatto entry-level

Notebook Asus

ExpertBook P5, il notebook Asus leggero e potente per il business

Kingston backup

Kingston XS2000, storage mobile veloce e ultracompatto

TECH

Data center

Data center: Italia potenziale hub tecnologico in Europa

data center

Data center, la vision di Vertiv sulla loro evoluzione

prefabbricate

Nasce Vertiv SmartRun, infrastrutture prefabbricate overhead

sicurezza

Mondialpol, sicurezza e conformità normativa con Synology

videosorveglianza

Toshiba testa affidabilità ed efficienza dei suoi HDD di sorveglianza

  • Contatti
  • Redazione
  • Privacy Policy
  • Cookie Policy

Avalon Media srl, via Brioschi, 29 20842 Besana in Brianza. P.Iva: 08119820960