Sono passati quasi 30 anni dall'uscita del film "Hackers" e molti di noi, quando pensano a un cyberattaccante, immaginano ancora un ragazzo con il cappuccio, appeso nel suo scantinato mentre hackera una tastiera per ottenere notorietà. Tuttavia, negli ultimi tre decenni sono cambiate molte cose e il ritratto di un attaccante di Active Directory si è evoluto notevolmente. È vero, alcuni cyberattaccanti probabilmente indossano ancora la felpa con il cappuccio e portano avanti gli attacchi dal loro scantinato, ma oggi è più probabile che lo facciano da qualche parte lontano nel mondo. Alla Hybrid Identity Protection Conference, Allen Brokken ha condiviso statistiche sconfortanti sugli attacchi informatici e sui vari profili e intenti degli hacker moderni. Ecco le cinque diverse categorie di attaccanti di Active Directory che Brokken ha condiviso durante la sua presentazione, "Detect and Respond to Active Directory Breaches".
5 diversi tipi di cyberattaccanti
L'hacktivista: L'hacktivista del XXI secolo è molto simile a quello visto in "Hackers", solo che la tecnologia è molto più avanzata e l'hacking è molto reale. Gli hacktivisti sono di solito motivati da una causa o da un programma politico più ampio e ritengono che il loro obiettivo sia meritevole di essere attaccato. Questa categoria di attaccanti di Active Directory può essere molto sofisticata nel suo approccio e spesso lavora insieme, come un insieme di partiti con interessi comuni piuttosto che una vera e propria organizzazione. WikiLeaks e Anonymous sono entrambe note organizzazioni di hacktivismo che hanno fatto trapelare informazioni sensibili per promuovere una causa.
Stati nazionali: Cina, Russia e Corea del Nord sono tutti Paesi che dispongono di capacità di attacco informatico e che, in ultima analisi, cercano di controllare alcuni aspetti della sfera geopolitica. Che si tratti di furto di proprietà intellettuale militare o di spionaggio aziendale, gli aggressori degli Stati nazionali dispongono di risorse significative e di capacità organizzative in grado di portare a termine attacchi importanti. Solo pochi mesi fa, la Russia ha effettuato un attacco ad Active Directory che ha interrotto la cerimonia di apertura dei Giochi Olimpici Invernali. Il malware wiper è stato in grado di eseguire la scansione di Active Directory per determinare i sistemi da colpire e mettere fuori uso il sito web dei Giochi invernali per 12 ore.
Organizzazioni terroristiche moderne: Recenti rapporti rivelano che il terrorismo informatico è una preoccupazione crescente e sarà la principale minaccia alla sicurezza informatica nei prossimi anni. L'ISIS e altre organizzazioni terroristiche stanno sfruttando le capacità di attacco informatico per contribuire a finanziare le loro battaglie e a promuovere la loro causa, che ritengono giustificata da uno scopo superiore. In alcuni casi, gli Stati nazionali e le organizzazioni di terrorismo informatico collaborano per sferrare attacchi contro nazioni più grandi e sofisticate. Questi cyberattaccanti possono funzionare in modo simile ad altri attori, ma le loro motivazioni sono per la causa più che per un guadagno monetario diretto.
Criminalità informatica organizzata: La criminalità informatica organizzata è una realtà molto concreta ed è l'equivalente odierno della mafia. Il Dark Web fornisce tutti i servizi e le armi informatiche di cui i gruppi di criminalità informatica organizzata hanno bisogno per portare a termine i loro attacchi - esiste persino il crimine come servizio, in cui alle bande di criminali informatici viene offerto del denaro in cambio dell'esecuzione di attacchi. Questi aggressori sono generalmente interessati al denaro e investiranno in un attacco complesso nel tempo se ne vedono il valore potenziale. Al giorno d'oggi si vedono bande di criminali informatici con strutture organizzative sofisticate, come quelle di qualsiasi altra azienda. In molti luoghi del mondo, attaccare elettronicamente gli altri è in realtà un lavoro legittimo a tempo pieno.
Concorrenti non etici: Negli Stati Uniti esistono leggi forti e un'etica generale che impediscono alle aziende di attaccarsi direttamente a livello elettronico per ottenere un vantaggio competitivo. Tuttavia, questa norma etica non è necessariamente condivisa in tutto il mondo. In molti Paesi, ogni modo per ottenere un vantaggio è considerato un buon affare. Quando un'organizzazione ha questo atteggiamento, è disposta a costruire capacità di attacco per vincere. Ci sono casi di aziende che attaccano i sistemi di determinazione dei prezzi dei concorrenti e fanno automaticamente offerte inferiori a quelle dell'obiettivo intenzionalmente per costringerlo a uscire dal mercato. Più di recente, gli aggressori hanno sfruttato il malware MBR-ONI per criptare i server Active Directory di diverse aziende giapponesi e bloccare le attività.
Gli odierni attaccanti di Active Directory sono di tutte le forme, dimensioni e strutture organizzative, ma la vera morale della storia è che questi attaccanti si evolvono e crescono in termini di minacce e livelli di sofisticazione. Per proteggere il vostro ambiente aziendale, dovete assicurarvi che il vostro piano di Disaster Recovery vi permetta di riprendervi rapidamente da qualsiasi tipo di attacco malware.
Per visualizzare la presentazione completa di Allen Brokken sugli attacchi ad Active Directory e altre presentazioni della Hybrid Identity Protection Conference 2017, fare clic qui.
