Quando si parla di attacchi informatici, ci sono tre modi fondamentali in cui gli aggressori ottengono l’accesso alla rete della vittima:
Phishing: Sfruttano la capacità delle e-mail di indurre gli utenti a consentire l’infiltrazione in una rete, offrendo potenzialmente agli aggressori un punto d’appoggio nel caso in cui l’attacco riesca a infettare un endpoint.
Vulnerabilità: Sfruttando le vulnerabilità zero-day o note (che non sono state patchate), gli aggressori possono ottenere privilegi elevati su sistemi e applicazioni e sfruttarli per accedere al resto della rete.
RDP/Accesso remoto: Gli aggressori utilizzano credenziali compromesse o attacchi di forza bruta alle password, usandole come tramite per entrare in una rete.
Le aziende di solito si concentrano sui primi due vettori di attacco. Quando si parla del terzo, di solito ci si concentra su RDP piuttosto che sull’insicurezza dell’autenticazione una volta che un aggressore entra in una sessione di accesso remoto.
In questo articolo, quindi, vogliamo esplorare cosa succede quando un aggressore trova e utilizza una sessione di accesso remoto. accesso remoto (RDP o altro, qui genericamente indicato come accesso remoto).
Esamineremo i metodi di attacco di forza bruta utilizzati per compromettere una credenziale, la loro diffusione, il motivo per cui gli utenti facilitano gli aggressori e le possibili misure da adottare.
Che cos’è un attacco di forza bruta?
L’attacco di forza bruta è un tipo di attacco informatico in cui un aggressore utilizza tentativi ed errori per indovinare o decifrare la password, le credenziali di accesso o le chiavi di crittografia di un utente. Questo metodo di attacco consiste nel provare sistematicamente tutte le possibili combinazioni di caratteri, numeri e caratteri speciali per ottenere un accesso non autorizzato all’account, al sistema o alla rete di un utente.
Gli attacchi di forza bruta possono essere eseguiti manualmente o con strumenti software automatizzati, il che li rende popolari tra gli hacker.
Tipi di attacchi di forza bruta
Esistono diversi tipi di attacchi di forza bruta, tra cui:
Semplice attacco di forza bruta: Consiste nel provare tutte le possibili combinazioni di lettere, numeri e caratteri speciali per indovinare la password di un utente.
Attacco inverso a forza bruta: L’attaccante parte da una password nota e cerca di trovare un nome utente corrispondente.
Attacco a dizionario: Gli aggressori provano a indovinare la password di un utente attraverso un elenco di parole, frasi e password comuni.
Attacco ibrido di forza bruta: Questo tipo di attacco combina un attacco a dizionario con un attacco di forza bruta tradizionale.
Credential stuffing: Consiste nell’utilizzare un elenco di nomi utente e password rubati per ottenere l’accesso non autorizzato a più account.
Motivi alla base degli attacchi di forza bruta
Comprendere le motivazioni alla base degli attacchi brute force è essenziale per valutare i rischi e implementare misure di sicurezza efficaci. I criminali informatici raramente agiscono senza uno scopo. I loro obiettivi sono spesso il guadagno finanziario, lo spionaggio o l’interruzione delle operazioni. Ad esempio, le industrie che gestiscono dati sensibili, come la sanità o la finanza, corrono maggiori rischi di spionaggio, mentre le aziende più piccole possono essere prese di mira da ransomware o furti di credenziali a causa dei budget IT limitati.
Ecco un approfondimento sul perché gli aggressori utilizzano le tattiche di forza bruta:
Furto di credenziali a scopo di lucro
Uno dei motivi più comuni alla base degli attacchi brute force è il furto di credenziali utente, come nomi utente e password. Una volta ottenute, queste credenziali possono essere vendute sui mercati del dark web, spesso come parte di grandi dump di dati, o utilizzate per ottenere un accesso non autorizzato a sistemi di valore. Ad esempio, un aggressore potrebbe vendere i dati di accesso ai sistemi interni di un’organizzazione, consentendo ad altri di lanciare attacchi mirati come ransomware o furto di dati.
Distribuzione di ransomware
Gli attacchi di forza bruta sono spesso utilizzati come punto di ingresso per la distribuzione di ransomware. Accedendo ai sistemi tramite credenziali compromesse, gli aggressori possono criptare i dati critici e chiedere un riscatto per il loro rilascio. Questo motivo è stato amplificato dall’aumento del lavoro da remoto, che spesso si basa su protocolli di desktop remoto (RDP) o altre soluzioni di accesso remoto che sono vulnerabili agli attacchi di forza bruta.
Spionaggio ed estrazione di dati
Gli attacchi brute force sono utilizzati dai criminali informatici con motivazioni legate allo spionaggio aziendale o statale. Permettono agli aggressori di infiltrarsi nelle reti e di estrarre dati sensibili. Gli aggressori possono prendere di mira la proprietà intellettuale, i segreti commerciali o le informazioni classificate. Utilizzano metodi di autenticazione deboli per accedere a sistemi di alto valore.
Interruzione del sistema
A volte, l’obiettivo non è rubare dati o denaro, ma interrompere le operazioni di un’organizzazione. Gli attacchi di forza bruta possono far parte di campagne più ampie volte a sovraccaricare i sistemi, a causare tempi di inattività o a intaccare la fiducia dei clienti. In questi casi, gli aggressori mirano a danneggiare la reputazione o le capacità di un’organizzazione piuttosto che trarne un vantaggio economico diretto.
Testare e sfruttare le debolezze della sicurezza
Gli attacchi di forza bruta servono spesso come strumenti di ricognizione. Gli aggressori possono usarli per sondare le difese di un’organizzazione, identificando i punti deboli dei sistemi di autenticazione. Queste informazioni possono poi essere utilizzate per creare attacchi più sofisticati e mirati.
Riutilizzo delle credenziali tra le varie piattaforme
Molte persone riutilizzano le password su più account. Sapendo questo, i criminali informatici sfruttano attacchi di forza bruta per accedere non solo a un account, ma potenzialmente a un’intera rete di servizi interconnessi. Questa tattica, nota come credential stuffing, è particolarmente problematica quando una singola password compromessa può portare a violazioni più ampie.
Intermediazione dell’accesso iniziale
In alcuni casi, gli attacchi a forza bruta sono condotti da broker di accesso iniziale, criminali informatici specializzati nell’introdursi nelle reti e nel vendere l’accesso ad altri aggressori. Questi broker utilizzano sistemi di autenticazione deboli per entrare e vendere le credenziali a chi cerca di portare a termine attacchi su larga scala come lo spionaggio o il ransomware.
Comprendere questi obiettivi può aiutare le organizzazioni a dare priorità alle difese, come l’autenticazione avanzata, gli audit di sicurezza di routine e la formazione dei dipendenti, per mitigare le vulnerabilità in modo efficace.
Attacchi di forza bruta online e offline
Gli attacchi di forza bruta si dividono in due categorie principali: online e offline, ognuna delle quali pone sfide uniche.
Attacchi di forza bruta online
Questi attacchi colpiscono sistemi o reti attive. Gli aggressori indovinano ripetutamente le password utilizzando strumenti automatizzati. Si verificano in tempo reale, il che li rende rilevabili monitorando i tentativi di accesso insoliti, come i ripetuti fallimenti da un singolo indirizzo IP.
Le strategie di mitigazione includono la limitazione della velocità per rallentare i tentativi, le sfide CAPTCHA per bloccare i bot e l’autenticazione a più fattori (MFA) per migliorare la sicurezza.
Attacchi di forza bruta offline
Gli attacchi offline consistono nel decifrare gli hash delle password rubate senza interagire con i sistemi in funzione. Gli aggressori utilizzano strumenti potenti per testare le combinazioni, rendendo difficile il rilevamento.
Le misure di difesa includono la protezione dell’archiviazione delle password con hash salati e l’uso di una crittografia forte. È inoltre essenziale aggiornare regolarmente il sistema per eliminare le vulnerabilità.
Perché gli attacchi brute force sono un problema?
Ogni volta che si vede una storia o una statistica di settore che parla di RDP coinvolto in un cyberattaccotieni presente che, al momento dell’attacco, l’aggressore aveva o non aveva un nome utente e una password funzionanti con cui accedere.
Negli scenari in cui l’attaccante parte da zero – come nel caso dei broker di accesso iniziale – l’obiettivo non è solo ottenere l’accesso, ma anche ricavare un set di credenziali funzionante che verrà utilizzato nell’attacco in corso o venduto sul dark web a un altro attaccante in cerca di accesso iniziale.
Ciò significa che a volte gli aggressori devono ricorrere ad attacchi di forza bruta per scoprire la password associata a un determinato nome utente.
Gli strumenti di attacco brute force sono progettati per automatizzare il processo di indovinare le credenziali, rendendolo più veloce ed efficiente per gli aggressori.
Secondo il MITRE ATT&CK Framework (pronunciato “ATTACK”), che delinea quasi tutte le tattiche, le tecniche e le procedure dannose utilizzate dai criminali informatici, esistono quattro tipi di metodi di attacco brute force:
Indovinare le password: Indovinare sistematicamente le password utilizzando un meccanismo ripetitivo o iterativo basato su un elenco di password comuni.
Password Spraying: Quando un attaccante acquisisce un elenco di nomi utente e tenta di accedere utilizzando la stessa password per tutti.
Cracking delle password: Utilizzare le rainbow table o indovinare le password e calcolare gli hash per decifrare gli hash delle password.
Credential Stuffing: L’utilizzo di credenziali ottenute dai dump delle violazioni di account non correlati per ottenere l’accesso agli account dell’obiettivo.
La decisione di utilizzare un metodo piuttosto che un altro si basa in gran parte sul fatto che l’attaccante conosca i nomi utente e/o le password della rete della vittima.
Ma quanto sono diffusi gli attacchi brute force alle password?
Secondo l’assicuratore informatico britannico Hiscox, il 17% degli attacchi ransomware che hanno visto nell’ambito delle richieste di assicurazione informatica sono iniziati con un attacco brute force. Cioè quasi 1 su 5. Abbiamo anche assistito ad attacchi di forza bruta in massa nel 2022 con 47 milioni di attacchi nel sud-est asiatico che colpiscono i lavoratori a distanza.
Si tratta quindi di un problema molto reale… per numerose ragioni.
1. Esistono numerose fonti di password deboli
Le password utilizzate negli attacchi di guessing, spraying o stuffing provengono spesso da varie fonti. Una fonte importante è rappresentata dalle violazioni di dati che espongono nomi utente e indirizzi e-mail. Ad esempio, la violazione di LinkedIn del maggio 2016 ha compromesso 164 milioni di indirizzi e-mail e password, rendendola un contributo significativo a tali attacchi.
Un’altra fonte sono i database pwned che catalogano le password più utilizzate, molte delle quali sono sorprendentemente semplici (ad esempio, “P@ssw0rd!”). Inoltre, gli aggressori spesso sfruttano le opportunità di indovinare in modo mirato concentrandosi su utenti specifici, aumentando la probabilità di trovare password deboli o prevedibili.
Secondo il rapporto 2023 di Spycloud sull’esposizione delle identità, oltre 7 milioni di password compromesse raccolte durante le violazioni riguardano un tema amoroso o familiare (ad esempio, se si conosce il nome del coniuge, è possibile iniziare a formulare tentativi da lì). Questi attacchi spesso consistono nel testare sistematicamente varie combinazioni di password per sfruttare le password deboli o comunemente utilizzate.
2. Anche il comportamento degli utenti contribuisce ai rischi per la sicurezza
Secondo lo stesso rapporto di Spycloud, il 72% degli utenti che hanno subito violazioni nel 2022 riutilizzava le password precedentemente esposte, con il 61% degli utenti negli Stati Uniti che riutilizzava le password.
Le password vengono riutilizzate in media 13 volte. Parte del motivo è il numero di sistemi, applicazioni e piattaforme di cui l’utente di oggi ha bisogno per mantenere un accesso.nelle aziende più piccole ci sono in media 85 password, mentre in quelle più grandi solo 25.
L’utilizzo di password complesse può migliorare notevolmente la sicurezza degli account, rendendo più difficile per gli aggressori riuscire a compromettere le credenziali.
Con la potenza di calcolo che oggi consente agli aggressori di di testare fino a 1 miliardo di password al secondo in un attacco a forza bruta, sicurezza delle password è essenziale.
3. L’accesso remoto può fornire agli aggressori modi per ottenere accessi non autorizzati
Aggiungiamo alla discussione l’accesso remoto, poiché gli attacchi di forza bruta sono solo il mezzo per ottenere un accesso non autorizzato; la vera vulnerabilità risiede nel modo in cui la forza lavoro ibrida di un’organizzazione interagisce con le risorse aziendali.
Alcune organizzazioni si affidano ancora (ancora!) a RDP (il protocollo che non vuole morire dell’orribile morte della cybersicurezza che merita!). Un recente rapporto ha rivelato che i criminali informatici hanno abusato di RDP nel 90% degli incidenti analizzati, rendendolo un vettore critico per gli attacchi ransomware. Anche in assenza di utilizzo di RDP, anche altre applicazioni di accesso remoto possono presentare rischi significativi: il 16% delle violazioni di dati è iniziato con la compromissione di RDP o di un’altra applicazione di accesso remoto.
Ciò significa che qualsiasi metodo di accesso remoto è un vettore di attacco per i criminali informatici. Dal momento che il 50% delle organizzazioni non si ritiene molto efficace nel mitigare i rischi legati all’accesso remoto, è fondamentale implementare misure di autenticazione più forti rispetto al semplice uso della password per proteggere efficacemente l’accesso remoto.
Buone pratiche di prevenzione contro gli attacchi di forza bruta
La prevenzione degli attacchi di forza bruta richiede un approccio a più livelli che combina politiche forti, salvaguardie tecniche e istruzione degli utenti. L’autenticazione a più fattori (MFA) è la base della difesa. È opportuno implementare strategie complete per assicurare una postura di sicurezza più attiva. Ecco come prevenire efficacemente gli attacchi di forza bruta:
Stabilire politiche di password solide
Le politiche sulle password forti sono alla base di qualsiasi strategia di prevenzione della forza bruta. È necessario che tutti gli utenti aderiscano a queste best practice:
Lunghezza e complessità: Richiedere password lunghe almeno 12 caratteri, con un mix di lettere maiuscole e minuscole, numeri e caratteri speciali.
Aggiornamenti regolari: Applica le politiche di scadenza delle password per limitare la finestra di opportunità per gli aggressori.
Evitare il riutilizzo: implementa sistemi che impediscano agli utenti di riciclare le vecchie password.
Blocca le password più comuni: Utilizza strumenti per bloccare le password deboli o facilmente indovinabili, come “123456” o “password”.
Implementare gli strumenti di monitoraggio della sicurezza
Il monitoraggio e gli avvisi in tempo reale possono aiutare a rilevare e rispondere agli attacchi brute force prima che vadano a buon fine. Si consiglia di considerare l’implementazione dei seguenti strumenti:
Sistemi di rilevamento e prevenzione delle intrusioni (IDPS): Strumenti come Snort o Suricata possono rilevare tentativi di accesso insoliti e bloccare le attività sospette.
Soluzioni SIEM: I sistemi SIEM (Security Information and Event Management) come Splunk o LogRhythm centralizzano i dati di log e forniscono informazioni sulle potenziali attività di forza bruta.
Soglie di blocco dell’account: Configurare i sistemi per bloccare temporaneamente gli account dopo un numero specifico di tentativi di accesso falliti.
Istruire i dipendenti sulle pratiche di sicurezza
L’errore umano è una vulnerabilità comune che gli aggressori sfruttano. Una formazione continua assicura che i dipendenti siano in grado di riconoscere e ridurre i rischi:
Sensibilizzazione al phishing: Formare il personale a identificare i tentativi di phishing che possono precedere gli attacchi di forza bruta.
Igiene delle password: Sottolineare l’importanza di password uniche e forti sia per gli account di lavoro che per quelli personali.
Protocolli di segnalazione: Incoraggiare i dipendenti a segnalare tempestivamente i tentativi di accesso sospetti o i comportamenti del sistema.
Adottare configurazioni tecniche
Le misure di sicurezza tecniche possono rendere molto più difficile l’esecuzione di attacchi brute force da parte degli aggressori. Si raccomanda di implementare queste misure:
Limitazione della frequenza: Rallentare o bloccare gli IP dopo una serie di tentativi di accesso falliti.
Integrazione CAPTCHA: Aggiungere sfide CAPTCHA alle pagine di login per impedire tentativi di accesso automatici.
Whitelisting IP: Limitare l’accesso al login a specifici intervalli di IP, in particolare per i sistemi sensibili.
Crittografa le password: Utilizzare algoritmi di crittografia forti, come Argon2, per memorizzare gli hash delle password corrette.
Accesso remoto al di là della password
Gli attacchi di forza bruta continuano a rappresentare un rischio significativo, ma un approccio proattivo e strategie di prevenzione possono ridurre drasticamente il loro impatto. Implementando l’autenticazione a più fattori (MFA), applicando politiche di password forti e sfruttando strumenti di sicurezza avanzati, le organizzazioni possono costruire una solida difesa contro gli accessi non autorizzati.
Anche se l’organizzazione si affida a metodi di accesso remoto più vecchi o più vulnerabili come RDP, richiedere l’MFA per tutti i login è un primo passo fondamentale. Oltre all’MFA, strategie come l’utilizzo di alti tassi di crittografia, la salatura degli hash delle password, l’impostazione di limiti ai tentativi di accesso e l’utilizzo di sfide CAPTCHA dopo ripetuti fallimenti possono vanificare gli attacchi brute force prima che abbiano successo.
È inoltre essenziale educare i dipendenti, monitorare le attività sospette e implementare strumenti come i sistemi di rilevamento delle intrusioni per identificare le potenziali minacce in tempo reale. L’obiettivo non è solo quello di rispondere agli attacchi, ma anche di evitare che si concretizzino.
Per coloro che hanno letto questo articolo fino alla fine, la conclusione è chiara: gli attacchi di forza bruta possono essere mitigati con misure di sicurezza deliberate e stratificate. È opportuno iniziare con l’MFA: è uno dei modi più semplici ed efficaci per rendere sicuro l’accesso remoto e proteggere l’organizzazione. È opportuno rafforzare tempestivamente le difese: il momento di agire è ora.
