Violazione delle password e uso improprio di account validi: sono queste le due strade che i criminali informatici stanno percorrendo con maggior frequenza, perché funzionano e fanno meno rumore di un tempo. Lo conferma il recente report globale Security Services di Kaspersky, che fotografa un cambio di passo netto nelle strategie d’attacco. Niente più malware ingombranti, capaci di far scattare gli allarmi dei sistemi di protezione: meglio entrare dalla porta principale, con credenziali che sembrano del tutto legittime.
Secondo i ricercatori si tratta di un vero e proprio spostamento di rotta. Gli aggressori, spiegano, tendono ad abbandonare i programmi malevoli più “rumorosi”, quelli che attivano le difese degli endpoint, e preferiscono sfruttare accessi legittimi per non farsi notare. Una logica semplice quanto efficace: se la chiave è quella giusta, nessuno controlla chi la sta usando.
Perché gli account compromessi sono diventati l’arma preferita
A mettere le cose nero su bianco è Sergey Soldatov, Head of Security Operations Center di Kaspersky. Le sue parole sono dirette: gli autori delle minacce non hanno sempre bisogno di strumenti sofisticati per centrare i propri obiettivi. In molti casi, gli strumenti amministrativi legittimi e gli account compromessi restano il modo più rapido ed efficace per muoversi dentro un’organizzazione senza dare nell’occhio.
Il punto è proprio questo. Quando un attaccante usa credenziali rubate o approfitta di tool pensati per l’amministrazione di sistema, si confonde tra le attività normali. Diventa difficile distinguere un dipendente che lavora da un intruso che sta saccheggiando i dati. Ed è qui che le aziende rischiano grosso, perché spesso non hanno gli strumenti per leggere questi segnali deboli.
La diffusione costante di queste tecniche manda un messaggio chiaro alle imprese: serve una visibilità approfondita sul comportamento degli aggressori e la capacità di mettere in relazione le attività sospette nelle diverse fasi di un attacco. Per rispondere a queste sfide Kaspersky propone le soluzioni Managed Detection and Response e Incident Response, che coprono l’intero ciclo di gestione degli incidenti: dal rilevamento delle minacce alla protezione continua, fino alla risoluzione.
I numeri che raccontano le tattiche più sfruttate
I dati del report aiutano a capire quanto siano radicate queste pratiche. La violazione delle password e l’uso improprio degli account emergono come le tattiche dannose prevalenti, e i numeri parlano da soli.
Al primo posto c’è il tentativo di indovinare le password, presente nel 34.8% dei casi: in pratica si provano sistematicamente combinazioni diverse fino a sfondare e ottenere l’accesso a un account. Segue a brevissima distanza la creazione di account locali, con il 34.7%. Gli aggressori si costruiscono nuovi profili per restare dentro il sistema anche quando il punto d’ingresso iniziale viene scoperto e chiuso. Una specie di porta di servizio lasciata aperta per sicurezza.
C’è poi l’abuso di account validi, al 34.5%: invece di distribuire malware, si entra usando credenziali rubate o compromesse. La manipolazione degli account pesa per il 32%, e consiste nel modificare profili già esistenti per rafforzare il proprio accesso. Chiude la lista l’individuazione dei servizi di rete, al 31.2%: prima di spostarsi all’interno dell’infrastruttura, gli aggressori effettuano una scansione per scovare servizi aperti e sistemi raggiungibili.
Cinque tecniche, percentuali molto vicine tra loro, tutte centrate su un principio comune: passare inosservati. Il malware sofisticato non è scomparso, ma sembra aver perso terreno rispetto a metodi più discreti e, a quanto pare, altrettanto redditizi per chi attacca.