I dispositivi infetti da malware possono devastare le organizzazioni, ma la minacce spesso provengono dall’esterno dell’azienda.
I dispositivi non gestiti (personali o condivisi) rappresentano minacce significative quando vengono utilizzati per accedere alle applicazioni aziendali. Gli utenti hanno il 71% di probabilità in più di essere infettati su un dispositivo non gestito. Un sondaggio Gartner ha rilevato che il 55% dei lavoratori digitali utilizza dispositivi di proprietà personale per il proprio lavoro almeno una parte del tempo. I team di sicurezza non hanno visibilità su questi dispositivi perché esistono al di fuori del controllo aziendale e, senza la consapevolezza dell’infezione, i rischi non possono essere adeguatamente mitigati e corretti.
Il malware sottrae tutto da un dispositivo infetto, comprese le credenziali e i cookie di sessione web. Con i cookie rubati, i criminali possono mascherarsi da utenti legittimi utilizzando un attacco chiamato session hijacking.
Che cos’è il session hijacking?
Il session hijacking si verifica quando la sessione Web di un utente viene rilevata da un utente malintenzionato. Quando si accede a un sito o a un’applicazione, il server imposta un cookie di sessione temporaneo nel tuo browser. Ciò consente all’applicazione di ricordare che hai effettuato l’accesso e che sei autenticato. Alcuni cookie possono durare solo 24-48 ore, mentre altri durano mesi.
I criminali sfruttano i cookie di sessione del dispositivo per perpetrare il session hijacking, ignorando del tutto la necessità di credenziali e autenticazione a più fattori (MFA) . Il session hijacking è un precursore sempre più diffuso delle frodi e degli attacchi ransomware.
In che modo i criminali rubano i cookie di sessione? Facilmente (purtroppo).
1) si induce l’utente a fare clic su un collegamento pericoloso o a scaricare un allegato dannoso per infettare il proprio dispositivo con malware.
2) Il malware sottrae tutti i tipi di dati dal dispositivo infetto, comprese credenziali, informazioni di riempimento automatico e cookie di sessione Web senza che l’utente sia a conoscenza dell’infezione.
3) Il criminale può quindi utilizzare un cookie di sessione rubato per autenticarsi come utente, senza la necessità di un nome utente e una password, aggirando i controlli di sicurezza e frode, inclusa l’autenticazione a più fattori.
In genere i criminali ottengono l’accesso ai cookie di sessione in due modi: implementando malware direttamente sul dispositivo di un utente o acquistando o scambiando log di botnet sulla darknet. Una volta che un criminale acquisisce i cookie di sessione web rubati, è spaventoso quanto velocemente e facilmente lanci attacchi di acquisizione di account (Account Takeover) sia personali che di lavoro, e quindi le possibilità di ciò che può fare sono infinite.
Con i cookie delle applicazioni aziendali, anche di terze parti come SSO e VPN, i criminali possono impersonare il dipendente, accedere a informazioni private e modificare i privilegi di accesso per spostarsi facilmente all’interno dell’organizzazione. I cookie degli account dei consumatori consentono ai criminali di rubare punti fedeltà e premi, drenare fondi, alterare le informazioni di spedizione e fatturazione, richiedere credito ed effettuare acquisti fraudolenti utilizzando le informazioni di pagamento salvate.
In che modo il session hijacking porta ad attacchi ransomware
È fondamentale che le organizzazioni prevengano in modo proattivo il dirottamento delle sessioni perché non solo ti rende vulnerabile all’acquisizione di account, ma è anche un modo semplice per i criminali di lanciare un attacco ransomware dall’interno della rete aziendale o da un servizio critico della forza lavoro (incluso SSO).
Una volta che i criminali hanno accesso alle applicazioni aziendali, possono facilmente spostarsi lateralmente all’interno dell’organizzazione travestiti da utenti legittimi e tentare di aumentare i privilegi per accedere e crittografare dati aziendali preziosi.
Un dipendente con cattive abitudini informatiche che fa clic su un collegamento dannoso o scarica un documento sospetto e viene infettato da un infostealer, noto anche come una minaccia interna inconsapevole, è uno dei punti di ingresso più sfruttabili per il ransomware.
Che cosa si può fare? Il monitoraggio attivo dei cookie delle sessioni Web o dei dispositivi rubati da malware è un modo efficace per prevenire gli incidenti di ransomware se si intraprende un’azione per invalidare le sessioni compromesse prima che gli attori delle minacce possano accedervi tramite il session hijacking. In caso contrario, armati di questi dati, gli aggressori possono utilizzare i browser anti-rilevamento per aggirare l’autenticazione a più fattori e anche le tecnologie anti-frode di fingerprinting del browser più recenti.
Con il monitoraggio proattivo, puoi identificare i dipendenti i cui endpoint gestiti e non gestiti sono stati infettati da infostealer in modo da poter intraprendere le corrette misure di riparazione post-infezione, invalidando le loro sessioni Web attive (e reimpostando le credenziali rubate), interrompendo la possibilità che un’infezione malware diventi un vero e proprio incidente di sicurezza.
“ Con il monitoraggio proattivo, è possibile eseguire le corrette misure di riparazione post-infezione, eliminando la possibilità che un’infezione da malware diventi un vero e proprio incidente di sicurezza. “
Come prevenire il session hijacking
Il recente sondaggio di SpyCloud su oltre 300 leader della sicurezza ha rivelato che i principali attacchi ransomware negli ultimi due anni hanno accresciuto le preoccupazioni relative al malware, costringendo le organizzazioni a rafforzare ulteriormente il proprio framework di sicurezza con livelli aggiuntivi. Soluzioni che prima non erano molto considerate, come il monitoraggio delle sessioni web compromesse, sono ora tra le principali contromisure pianificate per l’investimento. Ciò suggerisce che le organizzazioni stanno cercando di estendere la protezione ad altre aree poiché gli attori delle minacce, confrontati con le difese più tradizionali, spostano la loro attenzione su altre vulnerabilità che sono protette meno spesso o meno completamente.
Per le aziende, il modo migliore per prevenire il session hijacking consiste nel capire che cos’è e come viene eseguito, monitorare a livello di codice le sessioni Web rubate e sviluppare un processo per invalidare le sessioni Web relative agli utenti infetti . Reagire rapidamente assicura che i criminali rimangano bloccati e impedisce loro di sfruttare i vantaggi di attività dannose.
Poiché le sessioni Web possono essere valide per un paio di giorni o anche un paio di mesi, avere informazioni preliminari sulle sessioni compromesse dal malware può aiutare le organizzazioni ad agire rapidamente per contrastare il session hijacking. La chiave è:
- Identificare gli utenti infettati da infostealer
- Invalidare qualsiasi sessione attiva identificata da un cookie compromesso
- Proteggere gli account di alto valore dagli aggressori che sfruttano i cookie rubati per imitare i dispositivi affidabili
- Contrassegnare gli account utente con dispositivi noti compromessi per un maggiore controllo degli accessi futuri o delle interazioni del sito, indipendentemente dal tempo di scadenza dei cookie
Nonostante i crescenti livelli di difesa che le organizzazioni implementano per proteggersi dagli attacchi informatici, i criminali stanno ancora trovando modi innovativi per sfondare. Un feed dei dati compromessi da malware dei tuoi utenti è ora un livello importante in un solido framework di sicurezza.
Bloccando i malintenzionati dagli account dei consumatori, i criminali non hanno la possibilità di accedere alle informazioni sull’account e perpetrare frodi. Inoltre, identificando e agendo rapidamente sui dispositivi infetti da malware dei dipendenti che accedono alle applicazioni aziendali, gestite o personali, è possibile impedire l’accesso non autorizzato a informazioni e account business-critical.
