Comprendere cosa sono gli attacchi di mass exploitation

Quando un’organizzazione ha un volume d’affari e quindi un valore elevato, si può stare sicuri che criminali cercheranno di sfruttare le sue debolezze informatiche per ricavarne un guadagno economico. Fra le minacce più gravi troviamo gli , che bloccano i dati della vittima e richiedono il pagamento di un riscatto per fornire una chiave di decrittazione. Le organizzazioni devono identificare con precisione dove si nascondo i rischi e proteggere al meglio le risorse critiche. Tuttavia, anche le realtà più piccole dotate di infrastruttura IT possono beneficiare di un assessment della loro superficie di attacco che gli consenta di mitigare le vulnerabilità.

Gli attacchi di mass exploitation sono campagne automatizzate che scansionano continuamente l’Internet pubblico per individuare bersagli facili. Gli attacchi sono eseguiti dai bot in modo automatizzato e su ampia scala. Una volta compromesse, le risorse violate vengono sfruttate per attività illecite. Secondo CloudFlare, il è generato da bot dannosi, mentre altri report stimano che questo ammonti addirittura al . Una volta compromesse, le risorse violate vengono sfruttate per attività illecite.

Cosa accade alle risorse compromesse da campagne di mass exploitation?

Quando un aggressore ottiene il controllo di un sistema, stima il valore delle risorse compromesse e decide come ricavarne un ritorno economico. Il è un ecosistema sotterraneo che alimenta il mercato della criminalità informatica. Qui, i cosiddetti Initial Access Brokers (IAB) vendono accessi non autorizzati a gruppi di Ransomware as a Service (RaaS) specializzati in questo tipo di crimine informatico. Gli IAB usano gli accessi per criptare i dati delle vittime e chiedere riscatti.

Gli attacchi di mass exploitation sono solo uno dei tanti metodi usati dagli IAB. Se le risorse compromesse presentano un valore estorsivo limitato, spesso entrano a fare parte di reti “botnet zombie”, usati per scansionare Internet alla ricerca di altre vulnerabilità. In alternativa, i sistemi infetti possono inviare , ospitare o servire come infrastruttura di comando e controllo per favorire attacchi più complessi.

Come funzionano gli attacchi di mass exploitation

Analizzando le campagne di mass exploitation attraverso le tattiche, tecniche e procedure usate nel framework MITRE ATT&CK, possiamo comprendere meglio il comportamento degli hacker. Se ancora non conosci MITRE ATT&CK, questo è un buon momento per familiarizzare con la MITRE ATT&CK Enterprise Matrix, poiché è uno strumento utile per capire come operano gli aggressori.

Gli attacchi di mass exploitation prendono di mira un gran numero di sistemi utilizzando strumenti avanzati. Questi strumenti scansionano automaticamente numerosi indirizzi IP e lanciano attacchi informatici non appena rilevano una vulnerabilità. Gli aggressori si concentrano soprattutto su software esposti a Internet, come quelli che gestiscono siti web o consentono l’accesso remoto ai server.

Di seguito spieghiamo come funzionano gli attacchi di mass exploitation:

• Ricognizione [TA0043]: gli aggressori raccolgono informazioni su vulnerabilità note da fonti pubbliche come il database NIST NVD dove sono elencate le CVE con dettagli tecnici e punteggi di gravità. Inoltre, possono reperire codice exploit da fonti come exploit-db o GitHub, oppure acquistare strumenti dannosi sui mercati del dark web. In alcuni casi, sviluppano exploit personalizzati.
• Preparazione [TA0042]: gli aggressori creano strumenti in grado di identificare e sfruttare automaticamente le vulnerabilità [T1190] nei sistemi bersaglio senza necessità di intervento umano.
• Scansione attiva [T1595]: gli aggressori eseguono scansioni su larga scala per individuare servizi vulnerabili e le loro versioni [002]. Questo processo somiglia a quello utilizzato dai difensori informatici per scansionare la propria infrastruttura alla ricerca di vulnerabilità. Tuttavia, invece di correggere le debolezze individuate, gli aggressori le analizzano per pianificare come sfruttarle al meglio.
• Attacco: una volta trovata una vulnerabilità, gli strumenti tentano di sfruttarla per ottenere il controllo remoto del sistema [TA0011] o causare un Denial of Service (DoS) [T1499]. Gli attacchi possono sfruttare diverse debolezze del software, tra cui credenziali di account predefinite [CWE-1392], SQL injection [CWE-89], buffer overflow [CWE-119], caricamento di file non autorizzati [CWE-434] o controlli di accesso inadeguati [CWE-284].
• Valutazione e azione [TA0040]: dopo la compromissione, gli aggressori decidono come utilizzare il sistema compromesso a loro vantaggio. Possono eseguire ulteriori ricognizioni, spostarsi lateralmente nella rete [TA0008], rubare dati [TA0010], distribuire ransomware [T1486] o vendere l’accesso ad altri criminali informatici [T1650].

Come difendersi dagli attacchi di mass exploitation

Per proteggersi dagli attacchi di mass exploitation è fondamentale adottare un approccio proattivo. Le potenziali vulnerabilità devono essere identificate e risolte prima che gli aggressori possano sfruttarle. Questo richiede l’implementazione di solide pratiche di sicurezza informatica, tra cui valutazioni regolari, monitoraggio continuo e una rapida risposta alle esposizioni rilevate.

Ecco alcune misure chiave per proteggersi:

• Creare un inventario delle risorse IT: stila un elenco completo di tutti i dispositivi hardware, software e di rete utilizzati nell’organizzazione. Un inventario accurato consente di non trascurare alcun sistema durante le valutazioni di rischio e la gestione delle patch.
• Eseguire valutazioni del rischio: dai priorità agli asset in base alla loro importanza per le operazioni aziendali. Conducendo regolarmente valutazioni del rischio fari in modo che le minacce più critiche vengano affrontate, riducendo le probabilità di violazioni significative.
• Scansionare regolarmente le risorse e correggere le vulnerabilità: esegui scansioni di vulnerabilità su tutte le risorse IT, concentrandoti su quelle esposte a Internet o che presentano un rischio elevato. Applica rapidamente le patch o altre misure di mitigazione per evitare attacchi. Monitora e misura i progressi fatti nella gestione delle vulnerabilità.
• Eliminare servizi e applicazioni non in uso: riduci la superficie di attacco rimuovendo software e servizi non utilizzati. Meno elementi attivi ci sono, meno opportunità avranno gli aggressori di sfruttare le vulnerabilità.
• Formazione del personale: promuovi una cultura della sicurezza con corsi di formazione regolari. La consapevolezza aiuta a prevenire attacchi di phishing e malspam, riducendo il rischio per l’organizzazione.
• Utilizzare soluzione anti-malware: spesso i malware sono distribuiti mediante campagne di malspam e phishing su larga scala. Assicurati che tutti i sistemi dispongano di software antivirus aggiornati e filtri antispam attivi per individuare e mettere in quarantena file infetti.
• Implementare robuste politiche di autenticazione: gli attacchi di credential stuffing sono spesso componenti automatizzati delle campagne di mass exploitation. Proteggi gli account con password forti generate in modo casuale e non riutilizzarle su più piattaforme. Rafforza la sicurezza con autenticazione a più fattori (MFA), password manager e politiche di rotazione regolari.
• Configurare firewall e sistemi IPS: utilizza firewall e sistemi di prevenzione delle intrusioni (IPS) per bloccare il traffico dannoso. Imposta regole rigorose per proteggere i servizi sensibili ed effettua verifiche periodiche per aggiornare le configurazioni in base alle nuove minacce. 

Conclusione

Il mass exploitation si riferisce a campagne di attacco informatico automatizzate che sfruttano bot per scansionare la rete pubblica in cerca di sistemi vulnerabili. Questi attacchi colpiscono un’ampia gamma di vittime, approfittando di vulnerabilità note nei software esposti a Internet. Una volta compromessi, i sistemi vengono utilizzati per scopi malevoli come: lanciare attacchi ransomware, vendere accessi non autorizzati ad altri gruppi criminali, ampliare botnet per attacchi futuri.

Questa tecnica rappresenta una minaccia significativa poiché consente agli aggressori di operare su larga scala con uno sforzo minimo.

Per proteggersi dal mass exploitation le organizzazioni devono adottare un approccio proattivo, implementando misure di sicurezza fondamentali come: scansioni regolari delle vulnerabilità, gestione tempestiva delle patch, controllo rigoroso degli accessi, monitoraggio continuo della rete. Infine, investire nella formazione del personale in materia di sicurezza informatica può ridurre significativamente il rischio di cadere vittima di queste campagne.