E se gli attacchi non venissero rivolti direttamente alla nostra azienda, ma alla supply chain dalla quale dipendiamo? Non è qualcosa di inaudito, anzi, sempre più i criminali informatici stanno sfruttando le debolezze della catena di approvvigionamento per colpire i loro bersagli. Ce ne parla Ferdinando Mancini, Director, Southern Europe Sales Engineering di Proofpoint.
L’obiettivo principale dei criminali informatici sono le credenziali degli utenti, specialmente quelli di alto livello come dirigenti o amministratori, e per ottenerle si avvalgono della compromissione degli account dei fornitori, dell’invio di malware e degli attacchi BEC (Business Email Compromise), trasformando così la supply chain ed ecosistema dei partner in un potenziale vettore di attacco. Secondo l’FBI Internet Crime Report 2023, infatti, gli attacchi BEC sono stati una delle principali preoccupazioni dello scorso anno, con un costo di oltre 2,9 miliardi di dollari per le aziende colpite.
Per proteggersi da questi attacchi bisogna innanzitutto analizzare le tendenze dei criminali informatici e le tattiche da loro utilizzate.
Compromissione degli account: il vettore d’attacco principale
Gli attacchi alla supply chain sono molto frequenti (e devastanti), e sono tra le forme più comuni e costose di attacco BEC. Infatti, ben quattro aziende su cinque le subiscono ogni mese, e sono anche il fattore scatenante di circa un quinto degli incidenti ransomware.
Il tutto parte dalla compromissione degli account dei fornitori. Può sembrare un’operazione complessa, ma in certi casi non lo è, e i criminali informatici lo sanno bene. Uno dei metodi più semplici per appropriarsi di account è lo spoofing dei domini di fornitori legittimi, che non richiede credenziali o accesso all’account, ed è fortunatamente molto facile da contrastare con semplici controlli e procedure, come l’implementazione del protocollo DMARC e la verifica dell’età del dominio.
Alcuni criminali informatici si avvalgono di tecniche più complesse, come phishing sofisticato (anche tramite deepfake), per compromettere gli account legittimi e inserirsi nei flussi di email senza essere notati. Una volta entrati nei sistemi, anche non come amministratore, ma come semplice dipendente, sfruttano l’autenticità percepita per trasmettere payload pericolosi, effettuare richieste di pagamento fraudolente o raccogliere informazioni per compromettere altri account o aumentare i propri privilegi.
La superficie di attacco è così ampia che è impossibile per un solo strumento o controllo degli accessi individuare un potenziale attacco o intrusione. Quello di cui le aziende hanno bisogno è un approccio alla sicurezza basato sulla difesa in profondità, per proteggere l’intera catena di attacco e individuare le minacce ovunque abbiano origine.
Impariamo dal passato
Per capire come proteggersi è necessario capire come ragiona il proprio nemico: per farlo, possiamo imparare alcune lezioni da attacchi passati.
Nel 2022, uno dei principali produttori di semiconduttori al mondo ha subito un attacco ransomware a causa di un fornitore compromesso, che si ritiene avesse subito a sua volta un attacco ransomware nei mesi precedenti. La violazione è potenzialmente attribuibile a una campagna globale contro server VMware ESXi vulnerabili e privi di patch. Le conseguenze sono state significative, e l’interruzione del servizio è costata all’azienda ben 250 milioni di dollari.
In un altro caso, che ha coinvolto un provider VoIP, la violazione della supply chain è stata causata direttamente da un dipendente interno, che ha inconsapevolmente installato un pacchetto software che conteneva del malware distribuito attraverso una precedente compromissione della catena di fornitura iniziata presso un altro vendor. Questo attacco dimostra come i criminali informatici, in questo caso identificati come membri del gruppo Kimsuky sostenuto dalla Corea del Nord, possano attaccare una sola supply chain per scatenare un effetto domino e colpirne anche altre.
Infine, un esempio sfortunato dell’ampiezza della portata di questi attacchi viene da Progress, che ha subito un exploit di massa di una vulnerabilità zero-day nel suo software di file-transfer MOVEit. Essendo MOVEit un software molto utilizzato, principalmente da compagnie aeree, petrolifere e agenzie governative, si stima l’esposizione di dati di almeno 62 milioni di persone. Anche se le conseguenze non saranno note prima di qualche anno, le perdite stimate si aggirano già intorno ai 10 miliardi di dollari.
Come avviene un attacco alla supply chain?
Abbiamo visto quali possono essere alcune delle cause e degli effetti di un attacco a una supply chain, ma come avvengono essi nel concreto? Si possono identificare tre fasi distinte: la fase di attacco a forza bruta, quella di ricognizione e quella dell’estorsione di denaro.
Durante la prima fase, gli aggressori prendono di mira le aziende (spesso a tappeto, senza un obiettivo preciso) utilizzando strumenti di hacking open source, da loro creati oppure acquistati sul dark web, al fine di ottenere username e password. In questa fase iniziale non impersonano necessariamente qualcuno, ma colpiscono gli utenti con email di phishing o link e allegati dannosi contenenti, ad esempio, keylogger o trojan per raccogliere le credenziali.
Una volta ottenute le credenziali, i criminali informatici cominciano a muoversi lateralmente all’interno della rete, analizzando le comunicazioni con fornitori e clienti per individuare gli obiettivi più redditizi. Nel mentre, cercano di compromettere altri account legittimi lungo la catena di fornitura con phishing delle credenziali o malware.
Una volta ottenute le informazioni necessarie per una convincente impersonificazione, si fingono un fornitore di fiducia per inviare fatture fittizie o modificare i dettagli di pagamento di quelle legittime per dirottare i fondi sul proprio conto.
Quest’ultima fase è particolarmente pericolosa perché fa leva non sulle debolezze dei sistemi, ma quelle delle persone, il che rende difficile il riconoscimento di un attacco in corso.
Come proteggere la supply chain
Per sventare un attacco alla supply chain, bisogna munirsi di precauzioni per difendersi da ognuna di queste fasi appena delineate. Vediamo come.
Per quanto riguarda la prima fase, è una prassi dotarsi di misure base robuste, come password forti (o soluzioni passwordless), autenticazione a più fattori e controlli avanzati della posta elettronica per bloccare gli attacchi mirati.
Qui gioca un ruolo importante la formazione: il personale informato è meno prono a commettere errori che possono compromettere l’incolumità dell’intera azienda. In generale, il personale deve sapere come individuare un’esca di phishing o un payload dannoso e come reagire, mentre le aziende hanno bisogno di avere visibilità completa sugli account dei propri fornitori: chi è compromesso, come è avvenuto e chi ha rapporti con loro.
Durante la fase di ricognizione, invece, è necessaria una difesa più profonda. Ciò significa utilizzare strumenti avanzati per l’intelligence e analisi comportamentale, preferibilmente basati su intelligenza artificiale e machine learning. In questo modo, si possono identificare attività sospette e fermare le operazioni dei criminali informatici prima che questi possano compromettere in maniera irreversibile i sistemi aziendali. La velocità è fondamentale in questo caso. Più a lungo un avversario può agire all’interno del sistema di difesa, più ampia è la portata dei danni che può infliggere.
Non esiste una soluzione unica
Per quanto riguarda l’ultima fase, alcune delle misure di sicurezza più utilizzate sono l’analisi delle minacce post-consegna, la bonifica automatica delle e-mail dannose, la modifica delle password e la revoca delle sessioni, ma anche l’indagine e al ripristino di qualsiasi alterazione apportata alle regole delle caselle di posta.
Non esiste un’unica soluzione per fermare gli attacchi alla supply chain. Per controllarli e fermarli prima che possano causare danni permanenti è necessario impiegare numerose tattiche pragmatiche e preventive, che combinino semplici best practice, rilevamento avanzato, prevenzione e risposta rapida. In general, più protezioni si mettono in atto, più possibilità si avranno di ottenere risultati positivi.
Per maggiori informazioni sul come proteggersi da questo tipo di attacchi, vi invitiamo a visitare il sito web di Proofpooint.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📀 Lidl è anche un fornitore di servizi cloud
☁️Vmware Explore 2024: Broadcom rivoluziona il mondo del cloud e dell'AI annunciando importanti novità
🔐AI generativa: una nemica o una alleata per la cybersecurity?
📶Le reti 5G giocano un ruolo fondamentale nello sviluppo dello smart manufacturing
🎙️Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
