Poiché sempre più organizzazioni si orientano verso il lavoro da remoto, i team distribuiti e gli ambienti connessi al cloud, le soluzioni di accesso remoto sono diventate strumenti indispensabili per consentire la flessibilità della forza lavoro.
Tuttavia, se da un lato l’aumento dell’accesso remoto è un eccellente progresso tecnologico, dall’altro ha creato più punti di accesso e più opportunità per gli aggressori.
Oggi gli attacchi di accesso remoto e lo sfruttamento del Remote Desktop Protocol (RDP) rimangono tra i metodi di accesso iniziale più comuni utilizzati dai gruppi di ransomware e dai criminali informatici.
Una tendenza positiva? Oggi disponiamo di rapporti più dettagliati che mai. I fornitori di sicurezza, i team di IR e le testate giornalistiche pubblicano spesso analisi degli incidenti che mostrano con precisione come gli aggressori ottengono l’accesso, quali strumenti di accesso remoto utilizzano e come aumentano i privilegi.
Per le organizzazioni disposte a prestare attenzione, questo livello di trasparenza offre due vantaggi principali:
- È possibile vedere esattamente come vengono sfruttate le vulnerabilità dell’accesso remoto.
- Si vede cosa deve cambiare nel tuo ambiente per ridurre il rischio.
In questa guida analizziamo le vulnerabilità più comuni dell’accesso remoto, il modo in cui gli aggressori le sfruttano e le misure specifiche da adottare per proteggere l’ambiente e prevenire gli attacchi ransomware basati su RDP.
Vulnerabilità comuni dell’accesso remoto
Le vulnerabilità dell’accesso remoto sono la spina dorsale di molti cyberattacchi di successo. Offrono agli aggressori una porta aperta per infiltrarsi nella rete, rubare dati o distribuire software dannoso.
Con l’espansione del lavoro remoto a livello globale, cresce il rischio di accesso remoto. Secondo il World Economic Forum, i posti di lavoro digitali a livello globale aumenteranno del 25% entro il 2030, aggiungendo milioni di nuovi endpoint remoti che potrebbero diventare potenziali punti di ingresso per gli aggressori.
Ciò sottolinea l’importanza di comprendere queste vulnerabilità per rafforzare il profilo di sicurezza e prevenire potenziali violazioni.
Di seguito, esaminiamo le vulnerabilità di accesso remoto più comuni che le aziende si trovano ad affrontare oggi:
Mancanza di informazioni e visibilità
Molte organizzazioni non hanno una visibilità e una comprensione completa dei sistemi di accesso remoto, come le configurazioni VPN, le impostazioni RDP e i controlli di accesso di terze parti.
Senza un inventario chiaro degli strumenti di accesso remoto e degli endpoint, è facile che si verifichino configurazioni errate. Queste lacune di conoscenza possono portare a:
- VPN e firewall configurati male
- Esposizione accidentale di dati sensibili
- Utenti non autorizzati che ottengono l’accesso attraverso dispositivi poco protetti
Inoltre, i lavoratori remoti possono connettersi inconsapevolmente a Wi-Fi pubblici non protetti, aumentando il rischio di attacchi man-in-the-middle.
Condivisione di password e credenziali deboli
La condivisione delle password è una pratica comune ma pericolosa. Quando i dipendenti condividono le credenziali, soprattutto per i sistemi di accesso remoto, diventa difficile tracciare le responsabilità.
Le password riutilizzate o deboli rendono i sistemi vulnerabili agli attacchi brute-force o al credential stuffing. Inoltre, quando un dipendente se ne va, la mancata modifica delle password condivise può lasciare i sistemi aperti allo sfruttamento anche dopo che il dipendente se ne è andato.
Software non protetto o obsoleto
I ransomware e altri tipi di malware sfruttano software non patchati. Molte organizzazioni continuano a utilizzare software RDP, client VPN o altri sistemi di accesso remoto non aggiornati, che sono obiettivi noti per i criminali informatici. Le vulnerabilità di questi sistemi:
- Consentono l’invio di malware attraverso exploit non patchati
- Consentono l’esecuzione di codice da remoto da parte degli aggressori
- Forniscono un accesso backdoor a dati e sistemi sensibili
Molti fornitori di software rilasciano regolarmente patch per risolvere queste vulnerabilità, ma la mancata applicazione degli aggiornamenti lascia i sistemi esposti. Anche i software di terze parti, i plugin o le estensioni non aggiornati o non sicuri possono fornire punti di accesso non intenzionali.
Utilizzo di dispositivi personali per il lavoro a distanza
I dispositivi personali, quelli non gestiti dal reparto IT dell’organizzazione, rappresentano un rischio significativo quando vengono utilizzati per lavoro. I dipendenti possono connettersi da:
- Dispositivi personali non protetti, che non dispongono di controlli di sicurezza di livello aziendale.
- Dispositivi che non rispettano le politiche di sicurezza dell’azienda, come ad esempio la crittografia degli endpoint.
- Shadow IT, ovvero l’utilizzo di applicazioni o servizi non autorizzati per il lavoro.
Questi dispositivi possono anche essere privi di aggiornamenti regolari della sicurezza, rendendo le aziende vulnerabili agli attacchi di malware e ransomware. I dispositivi personali di solito non hanno lo stesso livello di controllo, monitoraggio o autenticazione dei dispositivi gestiti dall’azienda, rendendoli vulnerabili ad accessi non autorizzati.
Gestione inadeguata delle patch
Molte organizzazioni si trovano ad affrontare difficoltà nell’applicare patch e aggiornare i sistemi, soprattutto quando hanno a che fare con un’infrastruttura obsoleta o con risorse IT limitate. I sistemi non aggiornati sono facili bersagli per i criminali informatici, che scansionano attivamente le reti alla ricerca di vulnerabilità. Quando le patch vengono ritardate o non applicate:
- Gli aggressori possono sfruttare le vulnerabilità note del software di accesso remoto
- Gli strumenti di attacco automatizzati possono scansionare i dispositivi non patchati e comprometterli.
- Il codice dannoso può diffondersi attraverso la rete utilizzando queste vulnerabilità come punti di ingresso.
Nel caso di RDP, gli aggressori spesso utilizzano attacchi di forza bruta su servizi deboli o senza patch per ottenere l’accesso.
Backup vulnerabili
I backup sono fondamentali per il ripristino in caso di attacco informatico, ma anche i backup non protetti possono essere un bersaglio. Gli aggressori spesso cercano backup cloud esposti o dati non criptati, usandoli come punti di attacco secondari. Senza forti controlli di accesso e crittografia, questi backup possono diventare un facile punto di ingresso per il furto di dati o per il ransomware.
Scarsa igiene dei dispositivi
Trascurare gli aggiornamenti regolari dei dispositivi e i controlli di sicurezza può aumentare il rischio di infezioni da malware e ransomware. Con il passare del tempo, i dispositivi accumulano vulnerabilità che:
- Aumentano la superficie di attacco per i criminali informatici
- Consentono l’accesso non autorizzato se i permessi o i certificati di sicurezza sono obsoleti.
- Consentono agli aggressori di infettare i dispositivi, che possono poi essere utilizzati come trampolini di lancio per infiltrazioni di rete più estese.
L’igiene regolare dei dispositivi e l’aggiornamento del software di sicurezza sono essenziali per ridurre il rischio di violazioni della sicurezza.
Attacchi di phishing
Il phishing rimane uno dei metodi più diffusi per ottenere un accesso non autorizzato. I criminali informatici inviano:
- Email ingannevoli che sembrano legittime: Gli aggressori inviano spesso e-mail che simulano aziende, fornitori o dipartimenti interni affidabili. Questi messaggi possono includere fatture false, link per il ripristino della password o richieste urgenti, progettate per indurre gli utenti a cliccare su link dannosi o a condividere informazioni sensibili.
- Smishing (phishing via SMS) o vishing (phishing vocale): I criminali informatici utilizzano anche messaggi di testo e telefonate per apparire credibili. I messaggi di smishing possono contenere link a siti web fraudolenti o richieste urgenti di “verifica” dell’account. Il vishing prevede che i chiamanti si spaccino per banche, supporto IT o agenzie governative per spingere le vittime a rivelare i dati di accesso, le informazioni finanziarie o i codici di sicurezza.
- Portali di login falsi: Gli aggressori creano pagine di login simili a quelle di servizi come la posta elettronica o gli account cloud. Queste pagine imitano fedelmente il marchio e gli URL reali, inducendo gli utenti a inserire i loro nomi utente e le loro password, che vengono poi rubate.
Gli aggressori stanno utilizzando tattiche avanzate, tra cui l’apprendimento automatico, per creare messaggi di phishing personalizzati e spoofing di domini per rendere i loro attacchi più credibili. Una volta rubate le credenziali, queste possono essere facilmente utilizzate per accedere a sistemi di accesso remoto come RDP, VPN o servizi cloud.
In che modo gli aggressori sfruttano le vulnerabilità dell’accesso remoto per ottenere l’accesso
È noto da tempo che una percentuale significativa di attacchi ransomware, indipendentemente dalla variante, inizia con il phishing o con intrusioni basate su Remote Desktop.
Il phishing, di cui abbiamo parlato nella sezione precedente, è un punto di ingresso ovvio: quando ha successo, consegna agli aggressori una sessione endpoint e credenziali utente valide. Ma gli attacchi al desktop remoto (compresi quelli condotti attraverso strumenti commerciali di accesso remoto) offrono lo stesso risultato.
Sia che gli aggressori utilizzino tentativi di forza bruta – testando migliaia di password – o credenziali rubate acquistate o raccolte da precedenti violazioni, gli attacchi basati su RDP rimangono ugualmente efficaci e quindi si collocano a pari merito con il phishing come principale vettore di attacco iniziale.
Esempi reali di sfruttamento di RDP
Un esempio ben documentato è quello di MedusaLocker, una variante di ransomware identificata per la prima volta nel 2019 che di recente è ricomparsa tanto da richiedere un avviso congiunto di sicurezza informatica da parte delle agenzie governative. Gli operatori di MedusaLocker prendono principalmente di mira le connessioni RDP esposte, a volte pubblicate intenzionalmente per comodità, altre volte lasciate aperte per sbaglio. Dopo aver ottenuto l’accesso, distribuiscono il ransomware, criptano i dati critici e chiedono il pagamento.
Un altro caso ad alto impatto, documentato dai ricercatori di Sophos, ha rivelato come un gruppo che sfruttava il ransomware LockBit si sia infiltrato in una rete governativa statunitense tramite RDP. È sorprendente che gli aggressori abbiano condotto un’esplorazione laterale della rete per cinque mesi senza essere rilevati prima di iniziare la distribuzione del ransomware.
Come gli aggressori fanno escalation e si muovono lateralmente utilizzando l’accesso remoto
A questo punto come gli aggressori sfruttano le vulnerabilità dell’accesso remoto per ottenere l’accesso, discutiamo di come aumentano i privilegi e si spostano lateralmente utilizzando l’accesso remoto:
Una volta che gli aggressori ottengono l’accesso locale, la fase logica successiva, secondo il MITRE ATT&CK Framework, è il movimento laterale. I meccanismi di accesso remoto (in particolare RDP interno) vengono comunemente sfruttati in questa fase.
I dati recenti della società di risposta agli incidenti ransomware Coveware mostrano che il movimento laterale si verifica in circa il 70% degli attacchi ransomware. Gli analisti rilevano che questa fase “consiste principalmente nell’abusare del desktop remoto interno (RDP) dopo l’accesso iniziale”.
Spostandosi lateralmente, gli aggressori aumentano le autorizzazioni, accedono ad altri endpoint, individuano dati sensibili e posizionano il ransomware per ottenere il massimo impatto.
Strategie efficaci per prevenire l’uso improprio dell’accesso remoto negli attacchi ransomware
Dato che gli attori delle minacce abusano costantemente dell’accesso remoto per scopi malevoli, i responsabili IT e della sicurezza devono adottare misure decisive per ridurre il rischio. Di seguito sono elencate le azioni più efficaci che le aziende possono intraprendere per prevenire gli abusi:
Disabilita l’accesso remoto rivolto verso l’esterno
Gli aggressori spesso forzano le credenziali su desktop e server esposti a Internet. Anche il recente aggiornamento di Microsoft per Windows 11, che blocca automaticamente i tentativi di RDP brute-force, non è in grado di mitigare completamente la minaccia, soprattutto quando gli aggressori hanno in mano una serie di credenziali rubate.
Con il 59% delle organizzazioni che hanno sperimentato campagne di phishing incentrate sul furto di credenziali, insieme alla presenza di servizi del Dark Web dedicati alla vendita di credenziali, dovrebbe essere evidente che molti aggressori non si affidano più alla forza bruta per ottenere l’accesso.
Quando è possibile, eliminare RDP accessibile dall’esterno e altri percorsi di accesso remoto a livello di desktop.
Prendi in considerazione la possibilità di interrompere del tutto RDP
Per l’accesso al desktop remoto sia esterno che interno, Microsoft ha preso provvedimenti per garantire che i suoi servizi RDP siano il più sicuri possibile. Ma rimane un duplice problema:
- Innanzitutto, non tutte le aziende proteggono l’RDP su tutti gli endpoint.
- In secondo luogo, anche se è sicuro, le bande di ransomware sono ora alla ricerca di exploit zero-day (e sono disposte a pagare cifre a sette zeri per ottenerli), e la prevalenza di RDP in quasi tutti gli ambienti Microsoft lo rende un obiettivo primario per gli hacker che cercano di trovare il modo di sfruttare le applicazioni “commodity” che sono ampiamente disponibili.
Passare a soluzioni di accesso remoto sicure e moderne, con controlli degli accessi granulari, può ridurre significativamente la superficie di rischio.
Abilita l’autenticazione sicura
L’autenticazione a più fattori (MFA) rimane una delle difese più efficaci contro gli abusi nell’accesso remoto. La richiesta di un secondo fattore, come smartcard, certificati, app di autenticazione o chiavi hardware, rende di fatto inutili le password rubate e impedisce l’accesso non autorizzato anche quando le credenziali sono compromesse.
Aggiorna regolarmente e applica le patch al software
Aggiornare e applicare regolarmente le patch a tutti gli strumenti e i software per l’accesso remoto è fondamentale per tenere a bada gli aggressori. I sistemi non patchati sono un bersaglio privilegiato per i criminali informatici, quindi rimanere aggiornati sugli aggiornamenti è essenziale per proteggere la tua rete.
Educare e formare i dipendenti
Investire in formazione sulla cybersicurezza per aumentare la consapevolezza dei rischi associati all’accesso remoto. Formare la forza lavoro sui pericoli del phishing e della gestione delle password aiuterà a ridurre le probabilità di furto di credenziali e di accesso non autorizzato.
Ti potrebbe interessare anche: VNC vs SSH: Scegliere il giusto protocollo di accesso remoto per l’amministrazione sicura del sistema.
Rafforza la sicurezza dell’accesso remoto con RealVNC prima che sia troppo tardi
Le strategie di cybersecurity devono evolversi continuamente per riflettere l’attuale panorama delle minacce. Framework come MITRE ATT&CK esistono proprio per questo motivo: aiutare le organizzazioni a rimanere allineate con il modo in cui gli aggressori operano negli ambienti reali.
L’accesso remoto rimarrà un obiettivo primario per i gruppi di ransomware fino a quando le organizzazioni non privilegeranno una configurazione orientata alla sicurezza rispetto alla comodità orientata alla produttività.
Studiando i modelli di attacco odierni e implementando le raccomandazioni di cui sopra, le aziende possono rafforzare in modo significativo la sicurezza del loro ambiente di accesso remoto e ridurre la superficie di attacco interna ed esterna.
In breve: proteggere l’accesso remoto non è facoltativo, ma fondamentale per evitare rischi per la sicurezza.
È il momento di valutare le soluzioni di accesso remoto e garantire che siano sufficientemente solide per difendersi dalle minacce odierne.
Scopri di più su come le soluzioni di accesso remoto sicuro di RealVNC possono aiutare a proteggere la rete dagli attacchi ransomware e a bloccare i tentativi di accesso non autorizzati.
Domande frequenti
Di seguito sono riportate le risposte ad alcune delle domande frequenti sugli attacchi di accesso remoto.
Che cos’è un attacco di accesso remoto?
Un attacco di accesso remoto si verifica quando i criminali informatici entrano senza autorizzazione in un sistema o in una rete attraverso metodi di accesso remoto come RDP, VPN, SSH o strumenti remoti basati su cloud. Questi attacchi prevedono solitamente il furto di credenziali, il phishing o lo sfruttamento di vulnerabilità non patchate. In molti casi, gli aggressori automatizzano questi tentativi per colpire un gran numero di sistemi esposti.
Quali sono le vulnerabilità associate all’accesso remoto?
Le vulnerabilità più comuni includono RDP mal configurati, password deboli o riutilizzate, endpoint esposti, software obsoleti o senza patch, dispositivi personali non protetti e controlli di autenticazione insufficienti. Queste debolezze offrono agli aggressori facili punti di ingresso per compromettere le reti.
Quali sono i tre principali tipi di accesso remoto?
Le principali forme di accesso remoto includono:
- Remote Desktop Protocol (RDP): RDP è molto utilizzato ma spesso preso di mira a causa di porte aperte e credenziali deboli.
- Reti private virtuali (VPN): Le VPN crittografano il traffico ma possono rappresentare un singolo punto di guasto se compromesse.
- Soluzioni di accesso remoto basate sul cloud: Questi strumenti si basano molto sulla sicurezza dell’account e sulla corretta configurazione dell’MFA.
