Cisco: hacker sempre più interessati al cloud

Secondo il Cisco 2017 Midyear Cybersecurity Report gli hacker sono sempre più interessati alle "potenzialità" del cloud come vettore d'attacco.

Secondo il report di Cisco il cloud è uno dei vettori d'attacco più interessanti per gli hacker

Secondo il report Cisco il cloud è uno dei vettori d’attacco più interessanti per gli hacker

Nel Midyear Cybersecurity Report (2017) gli analisti di Cisco affermano che negli ultimi sei mesi il numero di attacchi indirizzati a sistemi cloud è aumentato esponenzialmente. Il cloud, suggerisce lo studio, offre innumerevoli opportunità ai malintenzionati anche per via della disattenzione che le compagnie sembrano mostrare in materia di sicurezza/prevenzione online.

Con il passare dei mesi gli attacchi sono divenuti sempre più sofisticati puntando principalmente su due elementi: open authorisation (OAuth) ed account privilegiati – accesso a sistemi/servizi aziendali. Per quanto riguarda i rischi associati ad OAuth, i portali specializzati avevano avuto modo di trattare della questione in seguito ad una campagna phishing indirizzata inizialmente ad alcuni giornalisti statunitensi (Maggio 2017).

La vittima riceveva via email un messaggio di un contatto che chiedeva di visionare un determinato file aggiunto in condivisione. La schermata successiva domandava all’utente di autorizzare Google Docs ad accedere alla risorsa, naturalmente utilizzando le credenziali di accesso. Come dimostrato da ArsTechnica in un dettagliato articolo (consultare sezione delle fonti), cliccando sul triangolino posto di fianco alla dicitura “Google Docs would like to” si scopriva il vero mandante del messaggio. Il pulsante “Allow” inviava automaticamente le informazione agli hacker di turno.

Anche se Google è intervenuta prontamente, rendendo inservibile la metodologia d’attacco appena descritta, Cisco stima che le aziende colpite siano state almeno 300.000.

OAuth, lo screen svela il reale mandante del messaggio

OAuth, lo screen svela il reale mandante del messaggio. Fonte: ArsTechnica

Account privilegiati: le “chiavi d’accesso” più ambite

Gaining access to a privileged account can provide hackers with the virtual ‘keys to the kingdom’ and the ability to carry out widespread theft and inflict significant damage. […]However, most organisations aren’t paying enough attention to this risk

si afferma in un passaggio del report.

OAuth è solo uno dei tanti metodi escogitati per rubare le credenziali di accesso. Alcuni mesi fa Cisco ha ad esempio monitorato tentativi multipli di accesso non autorizzato a deploy cloud di varie compagnie (via brute-force). Gli account privilegiati, affermano gli analisti, sono almeno 6 ogni 100 (su un campione di 4410 account analizzati): tra questi ultimi 2 account (in media) sono utilizzati da dipendenti in grado di effettuare tutte le principali task amministrative.

E sebbene le risposte siano intuibili, gli analisti hanno cercato di capire quali siano principali obiettivi che gli hacker perseguono online: in prima posizione, senza troppe sorprese, la volontà di guadagnare soldi. L’intenzione di causare esclusivamente danni (mediante blocco dei sistemi e/o la cancellazione dei dati), sottolinea il report, è in ascesa.

Tra una raccomandazione e l’altra lo studio lancia infine l’ennesimo avvertimento alle aziende ed agli esperti di sicurezza:

The breadth and depth of recent ransomware attacks alone demonstrate how adept adversaries are at exploiting security gaps and vulnerabilities across devices and networks for maximum impact

Fonti: 1, 2

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *