Aggiornamenti recenti Agosto 12th, 2022 3:28 PM
Ott 10, 2017 Marco Schiaffino Attacchi, Hacking, Intrusione, Leaks, News, RSS 0
Quanto può valere un account di posta elettronica per un pirata informatico? Dipende: nel caso del gruppo individuato dai ricercatori di Skyhigh Networks può rappresentare una vera miniera d’oro.
Il gruppo, che sfrutta una tecnica di attacco battezzata con il nome di KnockKnock, prende di mira i sistemi di posta Office 365 e punta specificatamente a determinati account aziendali. In particolare a quelli collegati all’automazione, ai servizi, al marketing e più in generale alle comunicazioni interne alla società.
Le ragioni sono molteplici. Prima di tutto perché, paradossalmente, sono gli account più vulnerabili. Trattandosi di account “di servizio”, infatti, non hanno solitamente un sistema di protezione con autenticazione a due fattori. In secondo luogo perché consentono l’accesso a servizi e dati che gli altri utenti non possono raggiungere.
Inoltre si tratta di indirizzi email che i dipendenti considerano attendibili e, una volta compromessi, permettono ai pirati di inviare malware o collegamenti a siti compromessi potendo contare sul fatto che i destinatari li considereranno affidabili.
Vista la posta in gioco, non c’è da stupirsi del fatto che i pirati preferiscano muoversi con accortezza per non rischiare di essere scoperti. Nonostante l’attacco sia portato attraverso una forma di brute-forcing (provando cioè numerose password fino a che non si “azzecca” quella giusta) i cyber-criminali ne hanno limitato il volume per aggirare i controlli di sicurezza.
Secondo i ricercatori, l’attacco viene portato attraverso una piccola botnet composta da circa 80 dispositivi distribuiti su 63 reti diverse. Per ogni account, inoltre, non vengono fatti più di 5 tentativi di accesso.
Un modus operandi decisamente diverso dai normali attacchi di brute forcing, che di solito colpiscono a tappeto tutti gli account di posta (in questo caso parliamo di una media di meno del 2% degli account aziendali) e cercano di eseguire il maggior numero di tentativi di accesso possibili.
Pochi tentativi di accesso distribuiti nel tempo. Se non si utilizzano sistemi di analisi evoluti l’attacco rischia di passare completamente inosservato.
Una volta ottenuto l’accesso a un account, i pirati di solito creano delle regole per la posta in arrivo in modo da esfiltrare i messaggi e nascondere l’operazione. Secondo i ricercatori di Skyhigh Networks, i pirati scelgono con cura anche il malware che intendono distribuire, tarandolo sulla tipologia dell’azienda che vogliono compromettere.
Secondo quanto emerge dal report, gli attacchi sarebbero iniziati nel maggio del 2017 e potrebbero essere collegati a un’altra ondata di attacchi con caratteristiche simili di cui l’azienda ha reso pubblici i dettagli a luglio.
In quel caso, però, i bersagli erano alcuni account selezionati sulla base dell’opportunità. I cyber-criminali hanno infatti sfruttato la diffusione su Internet dei dati personali rubati a Linkedin nel 2012, cercando di sfruttare quelle informazioni a loro vantaggio.
La logica è la solita: una volta conosciuta la password usata per un servizio, la si utilizza nella speranza che la vittima abbia usato la stessa parola di accesso (o magari una sua variante) anche per altre credenziali.
La cosa curiosa è che, piuttosto che indagare per scoprire l’indirizzo email delle potenziali vittime, i cyber-criminali hanno messo a punto un sistema automatizzato per provare tutte le più probabili sintassi dell’indirizzo di posta (come nomecognome@azienda.it; nome.cognome@azienda.it; cognome.nome@azienda.it; etc.) nella speranza di azzeccare quello giusto.
Anche in quel caso, però, il numero di tentativi erano limitati ed era evidente la volontà del gruppo di passare quanto più possibile inosservati.
Lug 25, 2022 0
Giu 22, 2022 0
Gen 28, 2022 0
Gen 27, 2022 0
Ago 12, 2022 0
Ago 12, 2022 0
Ago 11, 2022 0
Ago 11, 2022 0
Lug 21, 2022 0
Il Mitre lo conoscono tutti: come istituzione, come...Lug 19, 2022 0
Acronis è un’azienda che deve buona parte della sua fama...Mar 11, 2022 0
Il ransomware è un flagello che sta colpendo le aziende di...Mar 10, 2022 0
Il ransomware è una tipologia d’attacco di cui...Mar 09, 2022 0
Non c’è quasi utente di computer che non abbia sentito...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Ago 12, 2022 0
Phishing mirato, social engineering e operatori telefonici...Ago 12, 2022 0
L’analisi del modo in cui l’industria...Ago 11, 2022 0
Phishing e l’account personale di Google di un...Ago 11, 2022 0
VMware ha pubblicato aggiornamenti che risolvono bug di...Ago 10, 2022 0
Tra le vulnerabilità corrette, uno zero-day attivamente...Phishing mirato, social engineering e operatori telefonici specializzati sono alla... Continua →