Superare la crescente minaccia del session hijacking

15/09/2023

Le passkey e l’autenticazione a più fattori non sono sufficienti per combattere il malware infostealer, che può esfiltrare i dati aziendali prima che qualcuno si accorga dell’attacco.

Di Trevor Hilligoss, Direttore senior della ricerca sulla sicurezza, SpyCloud

Dalle passkey all’autenticazione a più fattori (MFA), la maggior parte delle aziende sta adottando soluzioni che proteggono le informazioni sensibili per ridurre al minimo la superficie di attacco e migliorare la posizione di sicurezza informatica. Sebbene questi approcci rappresentino un passo nella giusta direzione, i team di sicurezza dovrebbero riconoscere che potrebbero non essere sufficienti per proteggere completamente i dati degli utenti.

Mentre le aziende implementano nuovi modi per proteggere le proprie reti, i criminali informatici stanno contemporaneamente evolvendo tattiche per aggirare queste difese. I malintenzionati stanno già utilizzando tecniche come il dirottamento delle sessioni e il furto degli account per aggirare passkey e MFA per ottenere l’accesso ai sistemi aziendali . Quel che è peggio è che queste tattiche sono rese possibili principalmente dai dati filtrati dal malware, una delle lacune di sicurezza più difficili da colmare.

Il malware ruba rapidamente e furtivamente grandi quantità di dati di autenticazione accurati, comprese informazioni di identificazione personale (PII) come credenziali di accesso, informazioni finanziarie e cookie di autenticazione, e alcuni malware stanno già iniziando a esfiltrare depositi di chiavi locali come quelli gestiti dai gestori di password, molti di cui hanno iniziato a offrire soluzioni passkey. L’anno scorso, gli autori delle minacce hanno condotto oltre 4 miliardi di tentativi di malware , rendendolo il metodo di attacco informatico preferito. Inoltre, secondo il ” 2023 Annual Identity Exposure Report ” di SpyCloud, lo scorso anno oltre 22 milioni di dispositivi unici sono stati infettati da malware, con i dati rubati che si sono fatti strada verso le reti criminali per essere utilizzati in attacchi che vanno dal dirottamento della sessione al ransomware.

Sebbene i dati sottratti dal malware, compresi gli accessi alle applicazioni aziendali e i cookie per repository di codici, database dei clienti e sistemi finanziari, diventino sempre più importanti per i criminali, i team di sicurezza non hanno ancora la visibilità necessaria per affrontare tali esposizioni. Coloro che capiscono come funziona il malware e come i criminali informatici utilizzano i dati sottratti dal malware per sferrare attacchi successivi sono meglio attrezzati per affrontare la minaccia.

Il session hijacking abilitato dal malware è la grande minaccia
Il session hijacking inizia quando il malware infostealer (spesso distribuito tramite e-mail di phishing o siti Web dannosi) esfiltra i dati del dispositivo e dell’identità dalla macchina infetta e dai suoi browser Web. Sebbene tutti i dati rubati abbiano un certo valore per i criminali, il malware infostealer prende di mira sempre più dati di alto valore, inclusi i cookie.

Quando un utente accede a un sito o a un’applicazione, il server memorizza un token (o cookie) di autenticazione temporaneo in quel browser, consentendo al server di ricordare l’utente per un certo periodo di tempo. Finché il cookie rimane valido, un malintenzionato può importarlo, insieme a dettagli aggiuntivi che imitano il dispositivo e la posizione dell’utente, in un browser anti-rilevamento, dandogli accesso a una sessione già autenticata.

Il dirottamento della sessione è estremamente efficace anche contro i metodi di autenticazione più potenti. Il semplice utilizzo di cookie rubati validi consente ai criminali di saltare completamente il processo di autenticazione senza far scattare segnali di allarme. Ciò consente ai criminali di rimanere nascosti sulle reti aziendali per lunghi periodi, garantendo loro un passaggio gratuito alle informazioni sensibili e la possibilità di rubare dati aggiuntivi o aumentare i privilegi nel tentativo di sferrare attacchi mirati come il ransomware.

I criminali comprendono il potenziale devastante del dirottamento delle sessioni e hanno già creato strumenti come EvilProxy ed Emotet per prendere di mira i cookie di autenticazione. Quindi, cosa possono fare le aziende contro una minaccia che annulla le difese chiave? Sebbene possa sembrare impossibile, esistono nuovi approcci per contribuire a porre fine al ciclo della criminalità informatica.

Non puoi aggiustare ciò che non puoi vedere
Superare la crescente sfida del dirottamento delle sessioni è un compito arduo, ma non impossibile. Uno dei maggiori problemi nella difesa dagli attacchi alimentati dal malware infostealer è la capacità del malware di eludere il rilevamento. Le forme più recenti di malware possono sottrarre dati e cancellarsi in pochi secondi, rendendo difficile per i team di sicurezza sapere se si è verificato un attacco.

Inoltre, il malware infostealer può infettare i dispositivi personali dei dipendenti e quelli degli appaltatori al di fuori della normale competenza del team di sicurezza, rendendo estremamente difficile identificare tutti i casi di esposizione aziendale.

Fortunatamente, entrambe queste preoccupazioni possono essere risolte aumentando la consapevolezza e la visibilità delle minacce. Dopotutto, le organizzazioni non possono difendersi dall’ignoto… I team di sicurezza dovrebbero istruire gli utenti sugli infostealer, su come evitare di scaricarne uno erroneamente su qualsiasi dispositivo che accede alla rete aziendale o ad applicazioni aziendali critiche e su come eliminare regolarmente i cookie memorizzati nel proprio browser.

Per il malware che riesce a sfuggire, capire esattamente quali informazioni sono state rubate può aiutare i team a identificare quali credenziali utente e cookie di autenticazione devono essere riparati. Cancellare il dispositivo infetto non è sufficiente, poiché i dati attivi rubati possono essere utilizzati molto tempo dopo che l’infezione iniziale è stata risolta. Le organizzazioni devono invece identificare i dati compromessi e forzare in modo proattivo l’invalidazione della sessione e la reimpostazione della password per eliminare potenziali punti di ingresso nell’organizzazione.

In definitiva, un processo completo di riparazione del malware dovrebbe basarsi sulla conoscenza di quali dati sono stati sottratti dal malware infostealer. I team IT dovrebbero dare priorità ad approcci e soluzioni che forniscano la maggiore visibilità necessaria per colmare le lacune di sicurezza legate al malware. Una volta acquisite queste informazioni, i team possono adottare misure per affrontare tutte le risorse esposte, inclusi i dati di autenticazione, per proteggere la reputazione dell’azienda e i profitti.

Articolo Originale

Visita la pagina SpyCloud sul sito DotForce

 

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

Quali sono i vantaggi di una API anti-phishing?

Quali sono i vantaggi di una API anti-phishing?

Gli esseri umani sono l’anello più debole e il phishing sfrutta l’errore umano. Gli autori di phishing inducono un senso di urgenza nei destinatari, quindi i dipendenti sono spesso costretti a compiere azioni dubbie senza pensare alle conseguenze. Il risultato è...

Come cercare malware UEFI utilizzando Velociraptor

Come cercare malware UEFI utilizzando Velociraptor

Le minacce UEFI sono storicamente limitate in numero e per lo più implementate da attori statali come persistenza furtiva. Tuttavia, la recente proliferazione di Black Lotus sul dark web, il modulo di enumerazione Trickbot (fine 2022) e Glupteba (novembre 2023) indica...