Cyber attacchi: come avvengono e quali sono le ultime tecniche

I criminali informatici non utilizzano molte tecniche per portare a termine i cyber attacchi, a dispetto di questo però, sono molto fantasiosi. Le poche tecniche utilizzate si evolvono costantemente con originalità, così da essere più credibili agli occhi dell’utilizzatore umano ed hai controlli automatici eseguiti dagli strumenti software.

Le tecniche di attacco sfruttano le vulnerabilità: del software e dell’uomo. Se non esistessero vulnerabilità nel software e l’utilizzatore fosse attento a non compiere operazioni rischiose, la vita del cyber criminale sarebbe molto complessa. Tuttavia questa immagine appartiene solamente al mondo ideale, mentre il mondo reale è pieno di vulnerabilità, pronte per essere sfruttate.

Alcune vulnerabilità, vengono addirittura introdotte volontariamente dal produttore del software, per permettere un successivo accertamento da parte di enti di controllo.

Di fatto però, i dispositivi in uso quotidianamente, sono pieni di pericoli per gli utilizzatori. Le vulnerabilità del software sono introdotte per l’assenza, da parte dei programmatori, di una filosofia di programmazione, che potremmo definire di security-by-design.

L’obiettivo del programmatore è quello di fare in modo che l’applicazione possa funzionare correttamente nei casi d’uso previsti, senza considerare che l’utilizzatore potrebbe essere portato, dall’azione di un cyber criminale, ad utilizzare il software in casi d’uso non presi in considerazione, portando il software a comportarsi in “maniera imprevista”. Questa casistica è chiamata “Buffer overflow”.

Che cosa si intende per Buffer Overflow

Volendo semplificare, il buffer è una zona di memoria in cui vengono posizionati i dati in attesa di essere elaborati. Il buffer overflow si verifica quando in una zona di memoria di una certa dimensione, viene scritto un dato di dimensione maggiore che va a sovrascrivere zone di memoria in cui sono presenti altri dati.

L’esito di questa tipologia di cyber attacchi, nel caso migliore, è l’arresto imprevisto dell’applicazione. Ciò si verifica quando l’attaccante non è stato in grado di gestire il flusso di esecuzione dell’applicazione. Il caso peggiore invece avviene quando l’attaccante riesce a gestire il flusso dell’applicazione, ed iniettare il suo codice malevolo, costringendo l’applicazione ad eseguire le operazioni che ha previsto, aggirando i controlli sui permessi che i sistemi operativi svolgono sulle applicazioni. L’input che è in grado di gestire il flusso dell’applicazione è chiamato “exploit”.

Per massimizzare la probabilità di portare a compimento i cyber attacchi, i criminali informatici cercano di sfruttare vulnerabilità di applicazioni di ampia diffusione, come browser web o applicazioni comuni come Office e Java.

Come è facilmente intuibile, le principali difficoltà per l’attaccante sono due: identificare un exploit funzionante e convincere l’utente a compiere una determinata azione.

Da dove comincia un cyber attacco?

Per l’utente aprire un sito web oppure un documento PDF o di Office in genere è un’operazione comune, è bene sapere che un attaccante potrebbe utilizzare queste semplici operazioni, compiute da un utente, per sfruttare una vulnerabilità e far partire un attacco.

Immaginate un software comune come Word, le vulnerabilità esistenti, possono essere sfruttate inserendo all’interno del documento delle stringhe, caratteri particolari, script di vario genere. Se una di queste stringhe riesce a sfruttare una vulnerabilità nota, un semplice documento Word sarà in grado di avviare l’attacco.

Una volta preso il possesso del flusso dell’applicazione, l’attaccante è in grado di far fare all’applicazione quello che ha progettato. L’applicazione malevola che i cyber criminali inseriscono all’interno del flusso di esecuzione dell’applicazione lecita è detta payload.

Il payload potrebbe essere in grado di cifrare dei dati a scopo di estorsione (ransomware), rubare dei dati (data breach), potrebbe essere un sistema di controllo remoto (rat), rubare cryptovalute oppure sfruttare le risorse di calcolo del sistema per generarle, l’iniziare un attacco mirato persistente (apt) o una combinazione di questi.

Alcuni payload sono modulari e permettono all’attaccante di scegliere quali funzionalità del malware attivare su quella vittima, in base alle condizioni di ambiente mostrate dal sistema. Spesso il controllo dei payload avviene tramite delle console chiamate server di Command and Control (Server C&C).

Ransomware Maze: tutti i dettagli dell’ultima variante

Recente è la notizia che una variante di ransomware “Maze”, molto attiva anche sul territorio italiano con delle campagne di phishing. Un esempio è quella diffusa nei mesi di ottobre e novembre 2019, in cui si diffondeva tramite una falsa email che riportava come mittente “l’Agenzia delle Entrate”.

Questa variante di Maze, diffusa nel mese di dicembre 2019, oltre a svolgere la sua attività di cifratura ha effettuato una copia dei dati, che sono stati pubblicati per diversi giorni, portando un doppio ricatto verso le aziende colpite: una richiesta di riscatto non solo per riavere i dati indietro, ma anche per evitare la pubblicazione del dato. Questa forma di ricatto ha colpito anche una nota azienda italiana.

Questo primo esempio di ransomware che cifra i dati dopo averli rubati, deve mettere in guardia le aziende e gli enti pubblici, in particolare a seguito degli obblighi imposti dal GDPR. La strategia di protezione dal ransomware non può essere basata sulle sole tecniche di ripartenza dopo l’incidente, ma è fondamentale ideare dei sistemi di prevenzione e risposta all’incidente.

Come prevenire un cyber attacco

La prevenzione può essere fatta riducendo la superfice di attacco, che il cyber criminale può sfruttare.

• Gestendo in modo centralizzato e pianificato l’installazione delle patch per superare le vulnerabilità note.
• Implementando soluzioni antimalware in grado di individuare i tentativi di attacco e che possibilmente siano anche in grado di analizzare il comportamento delle applicazioni in memoria.
• Implementando soluzioni antispam efficaci, moltissime minacce vengono trasmesse tramite posta elettronica, anche certificata (PEC).
• Formando il personale su comportamenti sicuri da tenere

La riduzione della superfice di attacco non potrà comunque annullare completamente il rischio di subire cyber attacchi. Per questa ragione le aziende dovrebbero pensare a dei piani di Incident Response, per gestire secondo delle procedure organizzate le fasi di reazione all’incidente e di indagine successiva per identificare le cause dell’attacco ed i sistemi ed i dati coinvolti.

Spesso capita di vedere che i danni più gravi vengono causati da errori commessi nella fase di reazione all’incidente, che non essendo stata organizzata, avviene sulla base di reazioni di emotive che difficilmente possono essere anche razionali. Inoltre quasi mai si tende a valutare gli effetti complessivi dell’attacco subito, ma ci si limita soltanto a ripristinare i servizi oggetto di attacco.

Il ransomware Maze, nella sua variante che ha esposto i dati delle sue vittime, deve fare riflettere parecchio le aziende. Sono necessari strumenti di prevenzione e rimedio degli attacchi, che devono essere coordinati con le procedure interne dell’organizzazione.

Le organizzazioni non possono più prescindere da una cultura della cyber sicurezza, che venga supportata con personale qualificato e con fondi per l’implementazione.