Il ransomware continua a essere un'impresa criminale molto redditizia.
I gruppi di hacker di ransomware hanno estorto almeno 144,35 milioni di dollari alle organizzazioni statunitensi tra gennaio 2013 e luglio 2019. Questa è la cifra esatta rivelata di recente dall'FBI - il danno reale è quasi certamente molto più alto, dato che solo una parte dei crimini informatici viene denunciata alle forze dell'ordine.
Per entrare nella porta, i fornitori di ransomware indirizzano le e-mail con le armi a un dipendente mirato. Una volta entrati in una rete, si spostano lateralmente per individuare e criptare i sistemi mission-critical; segue la richiesta di riscatto per una chiave di decriptazione. In molti casi, la fase di spostamento laterale è facilitata dal dirottamento di uno strumento onnipresente per gli amministratori di rete: Windows Active Directory, o AD.
Ho avuto modo, ancora una volta, di discutere dello yin e dello yang relativi alla posizione centrale di Active Directory nel cuore delle reti aziendali con Mickey Bresman, cofondatore e CEO di Semperis, un'azienda di resilienza informatica guidata dall'identità con sede nel nuovo World Trade Center di Lower Manhattan. Ci siamo incontrati alla RSA 2020. Per un approfondimento della nostra discussione, ascoltate il podcast allegato. Ecco gli estratti principali.
Aumento dei ransomware
L'AD consente al personale IT di gestire l'accesso a server e applicazioni in tutta la rete basata su Windows; è utilizzato nel 90% delle organizzazioni statunitensi, il che significa decine di migliaia di aziende e agenzie. Nella primavera del 2017, i worm ransomware WannaCry e NotPetya hanno fatto il giro del mondo, bloccando i sistemi Active Directory di migliaia di aziende.
Sulla scia di NotPetya, in particolare, le grandi imprese si sono affrettate a bloccare le loro difese di rete interne. NotPetya ha provocato danni per 10 miliardi di dollari, secondo Tom Bossert, all'epoca alto funzionario del Dipartimento di Sicurezza Nazionale.
Gli attori delle minacce hanno quindi iniziato a concentrarsi su obiettivi più morbidi. Da allora hanno iniziato a perfezionare i modi per manipolare l'AD per favorire le campagne ransomware. Nel 2018 e nel 2019, le interruzioni delle attività aziendali causate da ransomware non sono state causate da worm di portata globale, come WannaCry e NotPetya, ma da attacchi singoli e implacabili.
"C'è stata una forte impennata nel terzo e quarto trimestre del 2019, non solo negli Stati Uniti, ma in tutto il mondo", mi ha detto Bresman. "Il ransomware continua ad andare forte e veloce e sta diventando un problema ancora più grande".
Le organizzazioni ora sotto tiro includono aziende manifatturiere, società di telemarketing, studi legali, ospedali, città e paesi, agenzie governative locali e distretti scolastici locali - le fondamenta stesse dell'economia statunitense.
Manipolazione delle identità
Gli attori delle minacce cercano AD per lo stesso motivo per cui le aziende vi fanno affidamento: AD è il fulcro dell'autenticazione e fornisce l'accesso Single Sign-On (SSO) all'intera rete aziendale. Un dipendente - o un attore delle minacce - può accedere una sola volta ad Active Directory e, se gli vengono concessi privilegi sufficientemente elevati, ottenere l'accesso completo a tutte le risorse dell'organizzazione.
Gli aggressori hanno ormai perfezionato numerosi modi per manipolare AD e mettere le mani su credenziali SSO con status di accesso privilegiato. Una serie di exploit molto diffusi riguarda la violazione di vulnerabilità note nel protocollo di autenticazione noto come Kerboros, che si integra con AD. L'hacking di Kerberos, spesso definito come attacco "golden ticket", può rendere molto più facile muoversi lateralmente senza essere scoperti.
Inoltre, vengono scoperte continuamente nuove vulnerabilità relative all'AD. Questo vale per tutti i software, ovviamente. Ma le falle dell'AD comportano in genere una posta in gioco molto alta. Il 10 marzo, ad esempio, Microsoft ha rilasciato una patch per una falla critica scoperta in un elemento chiamato LDAP, un altro protocollo di comunicazione che si collega ad AD. Questa falla, a meno che non sia stata patchata, lascia aperta la strada a un malintenzionato per l'escalation dei privilegi e l'esecuzione di attacchi man-in-the-middle dall'interno di una rete aziendale.
La stragrande maggioranza degli attacchi ransomware oggi si basa sulla manipolazione delle identità gestite e controllate, a un certo livello, dall'AD, afferma Bresman.
Esposizione all'attacco
Semperis è stata lanciata nel 2014 per fornire servizi di disaster recovery specifici per i sistemi AD. Ha iniziato offrendo alle aziende la possibilità di ripristinare in modo rapido ed efficiente un sistema AD che improvvisamente si è danneggiato e si è spento. Sei anni fa, la causa più probabile era un dipendente disonesto.
Poi sono arrivate le ondate di attacchi ransomware, che hanno sfruttato l'AD per diffondersi, con l'obiettivo dell'estorsione. Nel frattempo, la sfida di recuperare un sistema AD danneggiato o abusato è diventata molto più complessa. Le aziende mischiano sempre più spesso risorse fornite dal cloud con infrastrutture IT on-premise e, con l'aumento del ricorso a reti ibride, è aumentata anche la complessità del tentativo di bloccare l'AD.
"All'improvviso le organizzazioni si sono trovate in una situazione in cui avevano diversi ambiti da proteggere, alcuni dei quali erano all'interno del proprio data center, ma molti di questi si trovavano al di fuori del data center", spiega Bresman. "Tutte le organizzazioni stanno diventando sempre più digitali. Non è una novità... ma ora anche i malintenzionati stanno prestando attenzione a questo aspetto. Più un'organizzazione diventa digitale, più diventa esposta a potenziali attacchi".
Resilienza AD
Dopo aver lanciato un servizio di recupero specializzato, Semperis ha spostato il suo modello di business per aiutare le aziende a costruire la resilienza dell'AD. Di recente, l'azienda ha ampliato l'offerta di scansione dei sistemi AD dei clienti per trovare e correggere eventuali vulnerabilità legate all'AD, prima che un attore di minacce riesca a farlo.
"La cosa migliore è essere pronti, prima che arrivi un attacco", dice Bresman. "Entriamo nel vostro ambiente e vi prepariamo, assicurandoci che chiudiate tutto ciò che può essere chiuso".
Naturalmente, raramente è pratico bloccare tutto. Ad esempio, una scansione potrebbe rivelare un'impostazione di configurazione che dovrebbe essere modificata per aumentare la sicurezza. Ma così facendo si interromperebbero alcune funzionalità di un'applicazione aziendale tradizionale e si scatenerebbero le proteste.
Tuttavia, il solo fatto di ottenere visibilità di una grave falla nota è un grande passo nella giusta direzione. "Possiamo dedicargli un'attenzione particolare, iniziando con un piano di mitigazione", afferma Bresman. "Possiamo osservare qualsiasi cosa insolita che possa accadere in quell'ambiente e, se succede qualcosa che non è stato pianificato, possiamo inviare immediatamente una notifica".
Con il persistere della piaga del ransomware e con l'espandersi della superficie di attacco delle reti aziendali, ha senso monitorare e testare l'AD, dal punto di vista della sicurezza, 24 ore su 24. L'adozione diffusa di questa pratica farebbe una grande differenza. Io continuerò a vigilare.
