Il cloud Azure di Microsoft è diventato un terreno fertile per una nuova ondata di attacchi informatici mirati, concentrati su responsabili aziendali. Attraverso sofisticate tecniche di phishing e account takeover, i cybercriminali hanno già compromesso centinaia di profili utente.
Questi attacchi mirano a ottenere informazioni sensibili come password e credenziali di accesso, mettendo a rischio la sicurezza delle aziende coinvolte in diverse parti del mondo. I ricercatori di Proofpoint hanno identificato questa campagna, che utilizza il spear-phishing per infiltrarsi negli ambienti Microsoft Azure, compromettendo decine di account utente.
I dati raccolti suggeriscono che i responsabili di questa campagna stiano sfruttando vulnerabilità nei sistemi di sicurezza aziendale e operando con un alto grado di sofisticazione. In questo articolo, esploreremo i dettagli di questa minaccia e proporremo soluzioni di mitigazione del rischio.
Gli attacchi agli ambienti Cloud e l’impatto sulla sicurezza aziendale
La minaccia crescente rappresentata dagli attacchi agli ambienti Cloud costituisce un serio rischio per la sicurezza aziendale, come evidenziato nel CrowdStrike Global Threat Report del 2024. Questo report mette in luce l’attenzione crescente degli aggressori verso le piattaforme Cloud, in particolare Microsoft Azure, dove stanno orchestrando attacchi sempre più sofisticati e mirati.
Questo fenomeno è particolarmente allarmante considerando che un numero sempre maggiore di aziende sta adottando il cloud computing, rendendo le infrastrutture Cloud un bersaglio estremamente attraente per i criminali informatici.
L’impatto sulla sicurezza informatica delle aziende coinvolte è significativo. Gli aggressori mirano principalmente a ottenere informazioni sensibili come password e credenziali di accesso, mettendo così a rischio non solo i sistemi aziendali ma anche i dati sensibili dei clienti. Questa situazione può portare a violazioni dei dati, perdite finanziarie e danni reputazionali considerevoli, compromettendo la fiducia dei clienti e l’integrità dell’azienda stessa.
Di conseguenza, è di vitale importanza che le aziende adottino misure di sicurezza robuste per proteggere le proprie infrastrutture Cloud. Queste misure dovrebbero includere l’implementazione di controlli di sicurezza avanzati, l’uso di autenticazione multi-fattore, la crittografia dei dati sensibili e la costante vigilanza per individuare e rispondere prontamente agli attacchi.
Inoltre, è essenziale sensibilizzare il personale riguardo ai rischi del phishing e alle tattiche utilizzate dagli aggressori, fornendo formazione regolare sulla sicurezza informatica e promuovendo una cultura aziendale che ponga l’accento sulla sicurezza e sulla protezione dei dati. Solo attraverso un approccio olistico alla sicurezza informatica e una stretta collaborazione tra dipartimenti IT e personale aziendale sarà possibile mitigare efficacemente la minaccia crescente degli attacchi agli ambienti cloud.
Phishing su Azure: analisi approfondita
Secondo quanto riferito da Proofpoint, questa campagna si concentra su figure aziendali di alto livello, come account manager e CEO, indicando una strategia dei criminali informatici volta a compromettere account con diversi livelli di accesso e responsabilità.
L’accesso iniziale ai dati spesso ha condotto a una serie di attività post-compromissione, tra cui manipolazioni dell’autenticazione multi-fattore (MFA), furto di dati, phishing sia interno che esterno, frodi finanziarie e persino modifiche alle regole delle e-mail per coprire le tracce dell’attività criminale.
La campagna malevola scoperta alla fine di novembre 2023 e tuttora in corso rappresenta una minaccia serie per gli utenti dell’ambiente Cloud di Azure. Questo attacco si avvale di una combinazione di tecniche sofisticate di phishing e di ATO (Cloud Account Takeover) per compromettere gli account aziendali ospitati su Microsoft Azure.
Nel dettaglio, gli aggressori adottano gli attacchi di spear phishing, una forma mirata di phishing che mira a utenti specifici, solitamente quelli con accesso privilegiato o ruoli decisionali all’interno delle organizzazioni. Inviano loro documenti condivisi apparentemente legittimi, spesso mascherati da e-mail o messaggi di chat, contenenti link dannosi. Questi link indirizzano gli utenti verso pagine web fraudolente progettate per rubare credenziali di accesso, informazioni sensibili o per eseguire altri atti dannosi.
L’ATO, o Cloud Account Takeover, è una strategia in cui gli aggressori ottengono accesso non autorizzato agli account utente nel Cloud. Una volta che un utente clicca sul link maligno e inserisce le proprie credenziali su una pagina di login fraudolenta, gli attaccanti acquisiscono le informazioni di accesso e possono prendere il controllo completo dell’account Azure. Questo può consentire loro di accedere ai dati sensibili dell’azienda, manipolare le risorse Cloud o persino distribuire ulteriori attacchi all’interno dell’ambiente Cloud.
Per le organizzazioni che utilizzano Azure, è fondamentale adottare misure di sicurezza robuste per proteggere gli account utente e mitigare il rischio di tali attacchi. Queste misure possono includere formazione degli utenti sulla consapevolezza del phishing, implementazione di filtri anti-phishing avanzati, utilizzo di autenticazione a più fattori per accedere ai servizi cloud e monitoraggio attivo degli accessi anomali o sospetti. Inoltre, è importante mantenere i sistemi e le applicazioni sempre aggiornati e adottare le best practice di sicurezza consigliate da Microsoft e altri fornitori di servizi cloud.
Analisi dei modelli e delle tecniche di attacco per l’identificazione degli IoC
L’analisi dei modelli e delle tecniche di attacco ha fornito ai ricercatori di Proofpoint un’importante serie di Indicatori di Compromissione (IoC) utili per comprendere e contrastare l’attività malevola.
In particolare, è emerso che nella fase iniziale dell’attacco, è stato rilevato l’uso di un user-agent Linux per accedere in modo non autorizzato all’applicazione “OfficeHome” e ad altre applicazioni native di Microsoft 365, tra cui Office 365 Shell WCSS-Client, Office 365 Exchange Online, My Signins, My Apps e My Profile.
L’analisi forense ha ulteriormente rivelato l’infrastruttura operativa degli aggressori, che includeva diversi proxy, servizi di hosting e domini. Questa infrastruttura è stata utilizzata per mascherare l’origine geografica delle attività non autorizzate, sfruttando servizi proxy per allineare la posizione apparente degli attacchi con quella delle vittime mirate. Questo approccio ha consentito agli aggressori di eludere le politiche di geo-fencing e di rendere più complesso per i difensori bloccare le attività dannose.
Nonostante gli sforzi per nascondere la propria posizione, l’analisi ha permesso di individuare l’utilizzo di alcuni ISP locali di rete fissa in Russia e Nigeria, fornendo indicazioni sulla posizione geografica degli autori della campagna. Tuttavia, al momento Proofpoint non ha ancora attribuito la campagna ad alcun attore noto, continuando l’indagine per identificare gli aggressori e contrastare ulteriori attività dannose.
Strategie di sicurezza informatica: difendersi dalle minacce con misure proattive
Le strategie di sicurezza informatica sono essenziali per proteggere le organizzazioni dalle minacce sempre crescenti nel panorama digitale. Per difendersi efficacemente, è fondamentale adottare misure proattive che riducano il rischio di compromissione dei dati e dei sistemi. Ecco un approfondimento sulle misure di mitigazione consigliate:
Implementazione di soluzioni di sicurezza adeguate
Valutare e implementare soluzioni di sicurezza robuste, come firewall, antivirus, sistemi di rilevamento delle intrusioni e di prevenzione delle perdite di dati. Queste misure aiutano a proteggere i dati e i sistemi da accessi non autorizzati e da vari tipi di attacchi informatici.
Sensibilizzazione del personale
Educare e sensibilizzare tutto il personale dell’organizzazione sui rischi legati alla sicurezza informatica è cruciale. Le sessioni periodiche di formazione e training possono aiutare il personale a riconoscere e prevenire minacce comuni come il phishing, il malspam, gli attacchi brute force e di impersonificazione. Inoltre, incoraggiare l’adozione di pratiche di sicurezza informatica, come l’uso di password complesse e l’evitare di cliccare su link sospetti o di aprire allegati non attendibili, può contribuire significativamente a mitigare i rischi.
Monitoraggio degli indicatori di compromissione (IoC)
Valutare la possibilità di implementare sistemi di monitoraggio degli Indicatori di Compromissione (IoC) resi pubblici dai ricercatori. Questi IoC consentono di identificare segnali precoci di potenziali attacchi informatici e di intraprendere azioni correttive tempestive per mitigare gli impatti.
Adottare queste misure può contribuire in modo significativo a rafforzare la sicurezza dell’organizzazione e a proteggere i dati e i sistemi da potenziali minacce informatiche. Tuttavia, è importante comprendere che la sicurezza informatica è un processo continuo e dinamico che richiede costante vigilanza e adattamento alle nuove minacce emergenti.
Rafforzare la sicurezza informatica: strategie proattive e formazione essenziale
In conclusione, la sicurezza informatica è una componente essenziale per proteggere i dati e i sistemi aziendali dalle sempre crescenti minacce informatiche. Implementare misure proattive come soluzioni di sicurezza robuste, formazione del personale e monitoraggio degli Indicatori di Compromissione è fondamentale per ridurre i rischi di violazioni della sicurezza.
Per approfondire le conoscenze e acquisire competenze aggiornate in materia di sicurezza informatica, consigliamo il corso Security Awareness. Questo corso fornirà agli utenti le competenze necessarie per riconoscere, prevenire e affrontare le minacce informatiche, contribuendo così a garantire una maggiore sicurezza digitale all’interno dell’organizzazione.