Poich\u00e9 sempre pi\u00f9 organizzazioni si orientano verso il lavoro da remoto, i team distribuiti e gli ambienti connessi al cloud, le soluzioni di accesso remoto sono diventate strumenti indispensabili per consentire la flessibilit\u00e0 della forza lavoro.<\/p>\n\n
Tuttavia, se da un lato l’aumento dell’accesso remoto \u00e8 un eccellente progresso tecnologico, dall’altro ha creato pi\u00f9 punti di accesso e pi\u00f9 opportunit\u00e0 per gli aggressori.<\/p>\n\n
Oggi gli attacchi di accesso remoto e lo sfruttamento del Remote Desktop Protocol (RDP) rimangono tra i metodi di accesso iniziale pi\u00f9 comuni utilizzati dai gruppi di ransomware e dai criminali informatici.<\/p>\n\n
Una tendenza positiva? Oggi disponiamo di rapporti pi\u00f9 dettagliati che mai. I fornitori di sicurezza, i team di IR e le testate giornalistiche pubblicano spesso analisi degli incidenti che mostrano con precisione come gli aggressori ottengono l’accesso, quali strumenti di accesso remoto utilizzano e come aumentano i privilegi.<\/p>\n\n
Per le organizzazioni disposte a prestare attenzione, questo livello di trasparenza offre due vantaggi principali:<\/p>\n\n
In questa guida analizziamo le vulnerabilit\u00e0 pi\u00f9 comuni dell’accesso remoto, il modo in cui gli aggressori le sfruttano e le misure specifiche da adottare per proteggere l’ambiente e prevenire gli attacchi ransomware basati su RDP.<\/p>\n\n
Le vulnerabilit\u00e0 dell’accesso remoto<\/a> sono la spina dorsale di molti cyberattacchi di successo. Offrono agli aggressori una porta aperta per infiltrarsi nella rete, rubare dati o distribuire software dannoso.<\/p>\n\n Con l’espansione del lavoro remoto a livello globale, cresce il rischio di accesso remoto. Secondo il World Economic Forum<\/a>, i posti di lavoro digitali a livello globale aumenteranno del 25% entro il 2030, aggiungendo milioni di nuovi endpoint remoti che potrebbero diventare potenziali punti di ingresso per gli aggressori.<\/p>\n\n Ci\u00f2 sottolinea l’importanza di comprendere queste vulnerabilit\u00e0 per rafforzare il profilo di sicurezza e prevenire potenziali violazioni.<\/p>\n\n Di seguito, esaminiamo le vulnerabilit\u00e0 di accesso remoto pi\u00f9 comuni che le aziende si trovano ad affrontare oggi:<\/p>\n\n Molte organizzazioni non hanno una visibilit\u00e0 e una comprensione completa dei sistemi di accesso remoto, come le configurazioni VPN, le impostazioni RDP e i controlli di accesso di terze parti.<\/p>\n\n Senza un inventario chiaro degli strumenti di accesso remoto e degli endpoint, \u00e8 facile che si verifichino configurazioni errate. Queste lacune di conoscenza possono portare a:<\/p>\n\n Inoltre, i lavoratori remoti possono connettersi inconsapevolmente a Wi-Fi pubblici non protetti, aumentando il rischio di attacchi man-in-the-middle.<\/p>\n\n La condivisione delle password \u00e8 una pratica comune ma pericolosa. Quando i dipendenti condividono le credenziali, soprattutto per i sistemi di accesso remoto, diventa difficile tracciare le responsabilit\u00e0.<\/p>\n\n Le password riutilizzate o deboli rendono i sistemi vulnerabili agli attacchi brute-force o al credential stuffing. Inoltre, quando un dipendente se ne va, la mancata modifica delle password condivise pu\u00f2 lasciare i sistemi aperti allo sfruttamento anche dopo che il dipendente se ne \u00e8 andato.<\/p>\n\n I ransomware e altri tipi di malware sfruttano software non patchati. Molte organizzazioni continuano a utilizzare software RDP, client VPN o altri sistemi di accesso remoto non aggiornati, che sono obiettivi noti per i criminali informatici. Le vulnerabilit\u00e0 di questi sistemi:<\/p>\n\n Molti fornitori di software rilasciano regolarmente patch per risolvere queste vulnerabilit\u00e0, ma la mancata applicazione degli aggiornamenti lascia i sistemi esposti. Anche i software di terze parti, i plugin o le estensioni non aggiornati o non sicuri possono fornire punti di accesso non intenzionali.<\/p>\n\n I dispositivi personali, quelli non gestiti dal reparto IT dell’organizzazione, rappresentano un rischio significativo quando vengono utilizzati per lavoro. I dipendenti possono connettersi da:<\/p>\n\n Questi dispositivi possono anche essere privi di aggiornamenti regolari della sicurezza, rendendo le aziende vulnerabili agli attacchi di malware e ransomware. I dispositivi personali di solito non hanno lo stesso livello di controllo, monitoraggio o autenticazione dei dispositivi gestiti dall’azienda, rendendoli vulnerabili ad accessi non autorizzati.<\/p>\n\n Molte organizzazioni si trovano ad affrontare difficolt\u00e0 nell’applicare patch e aggiornare i sistemi, soprattutto quando hanno a che fare con un’infrastruttura obsoleta o con risorse IT limitate. I sistemi non aggiornati sono facili bersagli per i criminali informatici, che scansionano attivamente le reti alla ricerca di vulnerabilit\u00e0. Quando le patch vengono ritardate o non applicate:<\/p>\n\n Nel caso di RDP, gli aggressori spesso utilizzano attacchi di forza bruta su servizi deboli o senza patch per ottenere l’accesso.<\/p>\n\n I backup sono fondamentali per il ripristino in caso di attacco informatico, ma anche i backup non protetti possono essere un bersaglio. Gli aggressori spesso cercano backup cloud esposti o dati non criptati, usandoli come punti di attacco secondari. Senza forti controlli di accesso e crittografia, questi backup possono diventare un facile punto di ingresso per il furto di dati o per il ransomware.<\/p>\n\n Trascurare gli aggiornamenti regolari dei dispositivi e i controlli di sicurezza pu\u00f2 aumentare il rischio di infezioni da malware e ransomware. Con il passare del tempo, i dispositivi accumulano vulnerabilit\u00e0 che:<\/p>\n\n L’igiene regolare dei dispositivi e l’aggiornamento del software di sicurezza sono essenziali per ridurre il rischio di violazioni della sicurezza.<\/p>\n\n Il phishing rimane uno dei metodi pi\u00f9 diffusi per ottenere un accesso non autorizzato. I criminali informatici inviano:<\/p>\n\n Gli aggressori stanno utilizzando tattiche avanzate, tra cui l’apprendimento automatico, per creare messaggi di phishing personalizzati e spoofing di domini per rendere i loro attacchi pi\u00f9 credibili. Una volta rubate le credenziali, queste possono essere facilmente utilizzate per accedere a sistemi di accesso remoto come RDP, VPN o servizi cloud.<\/p>\n\n \u00c8 noto da tempo che una percentuale significativa di attacchi ransomware, indipendentemente dalla variante, inizia con il phishing o con intrusioni basate su Remote Desktop.<\/p>\n\n Il phishing, di cui abbiamo parlato nella sezione precedente, \u00e8 un punto di ingresso ovvio: quando ha successo, consegna agli aggressori una sessione endpoint e credenziali utente valide. Ma gli attacchi al desktop remoto (compresi quelli condotti attraverso strumenti commerciali di accesso remoto) offrono lo stesso risultato.<\/p>\n\n Sia che gli aggressori utilizzino tentativi di forza bruta – testando migliaia di password – o credenziali rubate acquistate o raccolte da precedenti violazioni, gli attacchi basati su RDP rimangono ugualmente efficaci e quindi si collocano a pari merito con il phishing come principale vettore di attacco iniziale.<\/p>\n\n Un esempio ben documentato \u00e8 quello di MedusaLocker, una variante di ransomware identificata per la prima volta nel 2019 che di recente \u00e8 ricomparsa tanto da richiedere un avviso congiunto di sicurezza informatica<\/a> da parte delle agenzie governative. Gli operatori di MedusaLocker prendono principalmente di mira le connessioni RDP esposte<\/a>, a volte pubblicate intenzionalmente per comodit\u00e0, altre volte lasciate aperte per sbaglio. Dopo aver ottenuto l’accesso, distribuiscono il ransomware, criptano i dati critici e chiedono il pagamento.<\/p>\n\n Un altro caso ad alto impatto, documentato dai ricercatori di Sophos, ha rivelato come un gruppo che sfruttava il ransomware LockBit si sia infiltrato in una rete governativa statunitense tramite RDP<\/a>. \u00c8 sorprendente che gli aggressori abbiano condotto un’esplorazione laterale della rete per cinque mesi senza essere rilevati prima di iniziare la distribuzione del ransomware.<\/p>\n\n A questo punto come gli aggressori sfruttano le vulnerabilit\u00e0 dell’accesso remoto per ottenere l’accesso, discutiamo di come aumentano i privilegi e si spostano lateralmente utilizzando l’accesso remoto:<\/p>\n\n Una volta che gli aggressori ottengono l’accesso locale, la fase logica successiva, secondo il MITRE ATT&CK Framework, \u00e8 il movimento laterale. I meccanismi di accesso remoto (in particolare RDP interno) vengono comunemente sfruttati in questa fase.<\/p>\n\n I dati recenti della societ\u00e0 di risposta agli incidenti ransomware<\/a> Coveware mostrano che il movimento laterale si verifica in circa il 70% degli attacchi ransomware. Gli analisti rilevano che questa fase “consiste principalmente nell’abusare del desktop remoto interno (RDP) dopo l’accesso iniziale”.<\/p>\n\n Spostandosi lateralmente, gli aggressori aumentano le autorizzazioni, accedono ad altri endpoint, individuano dati sensibili e posizionano il ransomware per ottenere il massimo impatto.<\/p>\n\n Dato che gli attori delle minacce abusano costantemente dell’accesso remoto per scopi malevoli, i responsabili IT e della sicurezza devono adottare misure decisive per ridurre il rischio. Di seguito sono elencate le azioni pi\u00f9 efficaci che le aziende possono intraprendere per prevenire gli abusi:<\/p>\n\n Gli aggressori spesso forzano le credenziali su desktop e server esposti a Internet. Anche il recente aggiornamento di Microsoft per Windows 11<\/a>, che blocca automaticamente i tentativi di RDP brute-force, non \u00e8 in grado di mitigare completamente la minaccia, soprattutto quando gli aggressori hanno in mano una serie di credenziali rubate.<\/p>\n\n Con il 59% delle organizzazioni<\/a> che hanno sperimentato campagne di phishing incentrate sul furto di credenziali, insieme alla presenza di servizi del Dark Web dedicati alla vendita di credenziali<\/a>, dovrebbe essere evidente che molti aggressori non si affidano pi\u00f9 alla forza bruta per ottenere l’accesso.<\/p>\n\n Quando \u00e8 possibile, eliminare RDP accessibile dall’esterno e altri percorsi di accesso remoto a livello di desktop.<\/p>\n\n Per l’accesso al desktop remoto sia esterno che interno, Microsoft ha preso provvedimenti per garantire che i suoi servizi RDP siano il pi\u00f9 sicuri possibile. Ma rimane un duplice problema:<\/p>\n\n Passare a soluzioni di accesso remoto sicure e moderne, con controlli degli accessi granulari, pu\u00f2 ridurre significativamente la superficie di rischio.<\/p>\n\n L’autenticazione a pi\u00f9 fattori (MFA) rimane una delle difese pi\u00f9 efficaci contro gli abusi nell’accesso remoto. La richiesta di un secondo fattore, come smartcard, certificati, app di autenticazione o chiavi hardware, rende di fatto inutili le password rubate e impedisce l’accesso non autorizzato anche quando le credenziali sono compromesse.<\/p>\n\n Aggiornare e applicare regolarmente le patch a tutti gli strumenti e i software per l’accesso remoto \u00e8 fondamentale per tenere a bada gli aggressori. I sistemi non patchati sono un bersaglio privilegiato per i criminali informatici, quindi rimanere aggiornati sugli aggiornamenti \u00e8 essenziale per proteggere la tua rete.<\/p>\n\n Investire in formazione sulla cybersicurezza per aumentare la consapevolezza dei rischi associati all’accesso remoto. Formare la forza lavoro sui pericoli del phishing e della gestione delle password aiuter\u00e0 a ridurre le probabilit\u00e0 di furto di credenziali e di accesso non autorizzato.<\/p>\n\nMancanza di informazioni e visibilit\u00e0<\/h3>\n\n
\n
Condivisione di password e credenziali deboli<\/h3>\n\n
Software non protetto o obsoleto<\/h3>\n\n
\n
Utilizzo di dispositivi personali per il lavoro a distanza<\/h3>\n\n
\n
Gestione inadeguata delle patch<\/h3>\n\n
\n
Backup vulnerabili<\/h3>\n\n
Scarsa igiene dei dispositivi<\/h3>\n\n
\n
Attacchi di phishing<\/h3>\n\n
\n
In che modo gli aggressori sfruttano le vulnerabilit\u00e0 dell’accesso remoto per ottenere l’accesso<\/h2>\n\n
Esempi reali di sfruttamento di RDP<\/h4>\n\n
Come gli aggressori fanno escalation e si muovono lateralmente utilizzando l’accesso remoto<\/h3>\n\n
Strategie efficaci per prevenire l’uso improprio dell’accesso remoto negli attacchi ransomware<\/h2>\n\n
Disabilita l’accesso remoto rivolto verso l’esterno<\/h3>\n\n
Prendi in considerazione la possibilit\u00e0 di interrompere del tutto RDP<\/h3>\n\n
\n
Abilita l’autenticazione sicura<\/h3>\n\n
Aggiorna regolarmente e applica le patch al software<\/h3>\n\n
Educare e formare i dipendenti<\/h3>\n\n