Spieghiamo la fase di pre-attacco di attacchi evoluti

Iniziamo dal citare il report di ENISA del 2021 che riporta la forte crescita degli attacchi che sfruttano le vulnerabilità di tipo zero-day. Crescita della precisione e della complessità degli attacchi. Infatti si parla molto di ransomware e di come individuarli e evitarli, ma non vi è una completa conoscenza del fatto che i ransomware sono usati dal cyber-crime nella fase-5 di “installation” di un attacco informatico, mentre la grande sofisticazione ed ingegnerizzazione degli attacchi avviene nelle fasi precedenti di un attacco: fa fase-3 “delivery” e fase-4 “exploitation”. Le aziende criminali oggigiorno sono delle vere e proprie corporate che aumentano il loro giro d’affari annualmente del 300%, quindi hanno molto denaro da investire nella sofisticazione degli attacchi.

Quindi il focus per la prevenzione degli attacchi non può più essere sulla fase di attacco vero e proprio (fase della kill-chain) quando l’attacco è già in essere, ma deve essere sulla “fase di pre-attacco”. Anche MitreAtt&k ha iniziato a parlare ed analizzare la fase di pre-attacco.

COS’E’ LA FASE DI PRE-ATTACCO?

Vediamo la sequenza delle fasi di un attacco cyber moderno ed evoluto, ed evidenziamo in esso la fase di pre-attacco.

1 – RECONNAISANCE: IDENTIFICO E STUDIO IL TARGET

In questa fase l’attaccante mira a pianificare l’attacco conducendo ricerche sulla potenziale vittima come: raccolta indirizzi email, identificazione dei dipendenti sulla rete e social-media (soprattutto senior-level), scansione della stampa e raccolta di info su nuovi contratti, conferenze, ecc., mappatura dei server con connessioni a Internet. Mappano la superficie d’attacco (#attacksurface) e cercano anche le relazioni tra società diverse, per comprendere i vari “canali di accesso” potenziali alla rete dell’azienda vittima. Queste attività sono dette di “ricognizione” proprio come avviene nel mondo militare prima di sferrare un attacco ad un sito specifico.

2 – WEAPONIZATION: PIANIFICO L’ATTACCO

Viene studiata e prodotto un’esca generalmente complessa e creata da malware e exploit in un payload consegnabile, che sappia sfruttare le debolezze dell’azienda target individuate nella fase precedente. Viene costruito in questa fase il playbook di missione dell’attacco, che è in grado di cambiare dinamicamente ed in modo automatico sulla base di quello che avviene “durante la missione”. Le fasi 1 e 2 sono le fasi che. compongono il pre-attacco.

3 – DELIVERY

In questa fase l’hacker trasmette il RAT o DROPPER (non il vero e proprio malware), avviando de-facto l’operazione di attacco. Questi oggetti sono in grado di rimanere silenti, nascosti, persistenti e non individuabili per parecchie settimane; sono una testa di ponte che porterà alla fase di explotation ovvero permetterà di parcheggiare dei malware dentro la rete della vittima. La loro persistenza ed invisibilità permette di “cambiare in corsa” la dinamica dell’attacco, ad esempio il tipo di malware da iniettare nel caso vi siano variazioni delle difese della vittima prescelta che rendano necessario un cambiamento per non essere individuati. In questa fase di delivery la potenziale vittima ha già grandi opportunità di intercettare e bloccare l’attacco con tecniche e strumenti che bloccano l’intrusione e la consegna.

4 – EXPLOITATION: ACCESSO SULLA VITTIMA

In questa fase si inietta realmente il malware nell’asset della vittima, sfruttando vulnerabilità e codici di exploit “zero-day”. Nei marketplace di malware  all’interno della darkweb si trovano alcuni marketplace specifici per ogni nazione, ad esempio il “berlusconi market” è stato chiuso qualche mese fa. Invece attualmente uno dei ransomware più conosciuti per colpire le aziende italiane si chiama “Conti ransomware” perchè gli hacker operano per nazioni e creano ransomware specifici per nazioni specifiche.


5 – INSTALLATION

A questo punto dell’attacco le risorse dell’attaccante vengono scaricate sulla rete della vittima: esse possono essere backdoor, software, attività temporizzate, ecc. Il difensore può utilizzare strumenti sui propri end-point per individuare queste attività malevole.

6 – COMMAND&CONTROL

Il malware apre un canale di comunicazione con “la base”, ovvero il C&C o C2, che consente all’attaccante di manipolare a distanza la vittima e gestire al meglio l’attacco. In questa fase la vittima ha la sua ultima possibilità di individuare ed interrompere l’attacco bloccando il canale C2. Purtroppo prodotti standard di difesa, come i classici antivirus, non sono in grado di individuare queste dinamiche, o se lo fanno lo fanno con diverse settimane di ritardo rispetto il primo evento, quindi senza possibilità di interrompere l’attacco.

Da qui in avanti l’attaccante ha il pieno controllo “della tastiera” qui può gestire l’attacco a suo piacimento e gli obiettivi possono essere diversi: collezionare credenziali, scalare i privilegi, movimenti laterali, esfiltrare dati sensibili, cifratura dei dati, modifica dei dati e delle configurazioni. La vittima sarà avvisata dall’attaccante che l’attacco è terminato con un chiaro messaggio: la cifratura di tutti i dati aziendali, anche del backup ove presente. La richiesta di un doppio riscatto sta diventando sempre più la norma per questo tipo di attacchi evoluti. Un primo riscatto per ottenere la chiave di cifratura, quindi riuscire a ri-operare con la propria azienda; un secondo riscatto per evitare che tutti i propri dati sensibili non siano diffusi/venduti sulla rete. Alternativamente, chiedono un “riscatto periodico” proprio per dare la garanzia che i dati e credenziali non siano diffusi con ovvi danni su brand e reputazione.

SOLUZIONI

Ci sono aziende come l’israeliana R-MOR che può essere considerata un cecchino che monitora continuamente l’azienda cliente e riconosce e uccide ogni eventuale tentativo di ricognizione e attacco, anche monitorando le vulnerabilità e operando per minimizzandole. Il servizio può essere visto simile ad “adotta il tuo cecchino” per individuare e killare. Eventuali tentativi di attacco.

Un secondo consiglio, seguendo anche le priorità definite nell’approccio ZERO TRUST è difendere gli end-point con tecnologie moderne ed in grado di individuare per tempo questi tentativi di attacco. L’esempio più innovativo, e citato da GARTNER come COOL VENDOR, è l’istraeliana DECEPTIVE BYTES con la sua tecnologia proprietaria di deception (inganno) che in modalità agentless e senza caricare le risorse di un end-point previene gli attacchi, sia noti che ignoti/evoluti.