×
Outbyte PC Repair
Outbyte Driver Updater

Attacchi informatici di alto profilo: un campanello d’allarme per le piccole imprese

2023/02/13
Attacchi informatici di alto profilo: un campanello d’allarme per le piccole imprese
  • Negli ultimi dieci anni, gli attacchi informatici sono aumentati in termini di sofisticatezza e portata, colpendo le piccole imprese insieme ai giganti della tecnologia e alle agenzie governative.
  • Incidenti come gli attacchi ransomware globali “NotPetya”, il gigantesco hack di Equifax e gli attacchi alla catena di approvvigionamento di SolarWinds e Kaseya sono campanelli d’allarme che nessuna organizzazione può permettersi di ignorare quando si tratta di sicurezza.
  • Mentre gli attacchi informatici sono diventati più avanzati, anche le migliori pratiche di sicurezza informatica si sono evolute e possono fornire difese efficaci per le organizzazioni.
  • Questo articolo è rivolto agli imprenditori che desiderano conoscere gli attacchi informatici e la sicurezza informatica.

Quanto sono sicuri il sito Web e la rete di computer della tua azienda? Questa domanda diventa ogni giorno più rilevante man mano che gli attacchi informatici aumentano in termini di sofisticazione e portata. Mentre oggi le aziende dispongono di più strumenti di sicurezza che mai, gli hacker hanno anche migliorato le loro capacità di attacco.

L’ultimo decennio è stato disseminato di attacchi informatici di alto profilo che dovrebbero servire da lezione sulla sicurezza informatica per le aziende di tutto il mondo. Che si tratti di schemi orchestrati dalla concorrenza o da qualcuno con un libretto degli assegni e rancore, gli attacchi di portata significativa possono verificarsi sia nelle organizzazioni grandi che in quelle piccole. Dai un’occhiata ad alcuni dei più grandi attacchi degli ultimi anni e scopri quali misure dovrebbero adottare le aziende di tutte le dimensioni per difendersi.

Attacchi informatici di alto profilo nell’ultimo decennio

Negli ultimi 10 anni, abbiamo assistito a una significativa espansione del numero, dell’ampiezza e dell’impatto degli attacchi informatici. Gli incidenti evidenziati di seguito dimostrano che, sebbene quasi nessuna organizzazione sia completamente protetta da potenziali incidenti di sicurezza, esistono azioni più preparate che le organizzazioni possono intraprendere per prevenire i peggiori risultati possibili.

2013: Il New York Times hack

Nel 2013, attivisti hacker (noti anche come hacktivist) hanno preso il controllo del sito web del New York Times con un attacco di “defacement”, che ha sostituito il contenuto del sito con un logo e il messaggio “Hacked by the Syrian Electronic Army” (SEA). Gli aggressori hanno anche compromesso l’account Twitter del Times. L’attacco, pur danneggiando la reputazione del Times e impedendo temporaneamente alla società di fornire contenuti online, non ha causato alcun danno duraturo.

Gli attivisti informatici non sembravano nemmeno compromettere nessuno dei sistemi interni del Times. Invece, hanno preso di mira il registrar dei nomi di dominio del giornale, che aveva standard di sicurezza permissivi. Prendendo di mira il registrar, gli aggressori sono stati in grado di ottenere l’accesso di cui avevano bisogno per disattivare temporaneamente il sito Web e l’account Twitter del Times.

2014: attacco Sony Pictures

Alla fine del 2014, un gruppo che si fa chiamare Guardians of Peace ha violato i sistemi interni di Sony Pictures Entertainment. Il gruppo ha rubato terabyte di dati privati ​​dall’azienda, ha cancellato i dati originali e lentamente ha fatto trapelare le informazioni rubate ai giornalisti e infine a Wikileaks. Sony ha affrontato un disastro di pubbliche relazioni, perdite finanziarie e danni tecnologici alle sue reti interne che hanno richiesto agli amministratori diversi giorni per riparare.

Mentre i Guardiani della Pace si sono descritti come attivisti informatici, il gruppo ha anche minacciato attacchi terroristici. Alla fine, l’FBI e la NSA hanno attribuito l’attacco a un gruppo legato alla Corea del Nord.

2017: attacco Maersk

Nel 2017, il mondo ha subito la sua prima vera pandemia informatica poiché l’arma informatica ransomware NotPetya si è diffusa rapidamente e in modo incontrollabile in gran parte del mondo. Pensato per essere stato sviluppato da hacker collegati alla Russia soprannominati “Sandworm”, il gruppo ha schierato NotPetya contro società ucraine selezionate dirottando la procedura di aggiornamento per un onnipresente software di contabilità ucraino chiamato MEDoc. Assumendo il controllo dei server di aggiornamento di MEDoc, Sandworm è stato in grado di installare NotPetya su migliaia di computer in Ucraina. [Scopri come proteggere la tua azienda dal ransomware .]

NotPetya nasce per diffondersi in modo rapido e automatico. Ha viaggiato rapidamente verso aziende di tutto il mondo, infliggendo alla fine danni stimati per 10 miliardi di dollari. La compagnia di navigazione globale Maersk è stata una delle organizzazioni più colpite al mondo. NotPetya si è diffuso attraverso un ufficio che Maersk aveva in Ucraina alla sua rete e poi a tutti i suoi uffici in tutto il mondo, crittografando tutti i dati dell’azienda.

2017: attacco Equifax

Nel settembre 2017, l’agenzia di informazioni creditizie Equifax ha subito una violazione dei dati che ha colpito fino a 143 milioni di americani. La violazione ha portato gli hacker ad accedere e rubare le informazioni di identificazione personale dei clienti, inclusi numeri di previdenza sociale, date di nascita e indirizzi di casa. L’incidente ha colpito anche alcuni consumatori canadesi e britannici.

L’hack è stato reso possibile a causa di una vulnerabilità dell’applicazione del sito Web senza patch. Sebbene non fosse immediatamente chiaro chi avesse violato Equifax, il governo degli Stati Uniti nel 2020 ha incriminato quattro membri dell’esercito cinese in relazione all’attacco. Le accuse suggeriscono che l’hack di Equifax sia stata un’operazione continua da parte delle agenzie militari e di intelligence cinesi per rubare informazioni personali da varie fonti. L’obiettivo finale degli hacker era quello di prendere di mira meglio ufficiali e funzionari dell’intelligence americana in varie operazioni, anche per corruzione o ricatto.

2020: attacco SolarWinds

All’inizio del 2020, gli aggressori ritenuti associati al governo russo hanno segretamente compromesso il server di aggiornamento appartenente allo strumento di gestione delle risorse IT Orion di SolarWinds con sede in Texas. La compromissione ha consentito agli aggressori di aggiungere una piccola quantità di codice dannoso che, una volta scaricato dalle aziende come parte di un aggiornamento software, ha concesso agli aggressori l’accesso backdoor alle aziende interessate come parte di un attacco alla catena di approvvigionamento . Questa backdoor ha consentito loro di installare malware aggiuntivo per spiare le aziende e le organizzazioni interessate.

Nell’arco di mesi, SolarWinds ha stimato che fino a 18.000 clienti hanno installato gli aggiornamenti dannosi che li hanno resi vulnerabili ad ulteriori attacchi da parte degli hacker. Le organizzazioni colpite includevano la società di sicurezza informatica FireEye, aziende tecnologiche come Microsoft e Cisco e agenzie governative statunitensi, comprese parti del Pentagono, Dipartimento dell’Energia e del Tesoro.

L’obiettivo degli autori era lo spionaggio e il furto di dati. Poiché gli attacchi sono durati per mesi ed erano altamente furtivi, molte aziende non erano consapevoli di essere state colpite o non erano sicure di quali dati potessero essere stati rubati.

2021: attacco Kaseya VSA

Nel luglio 2021, REvil, un gruppo di criminali informatici specializzato in attacchi ransomware, ha lanciato un attacco alla catena di approvvigionamento tramite la piattaforma VSA della società di software Kaseya. L’attacco, che sfruttava le vulnerabilità prive di patch, è passato attraverso Kaseya a un numero di fornitori di servizi gestiti (MSP) utilizzando la piattaforma VSA e infine ai clienti degli MSP. Complessivamente, l’attacco ransomware ha colpito più di 1.000 aziende.

REvil ha chiesto un riscatto di 70 milioni di dollari dopo aver lanciato il suo attacco. Kaseya non confermerebbe, tuttavia, se finisse per pagare lo strumento di decrittazione che alla fine ha utilizzato per riottenere l’accesso ai file interessati. Questo incidente ha segnato l’adozione di tattiche altamente sofisticate da parte di un gruppo di criminali informatici utilizzando metodi che in precedenza erano stati utilizzati con successo solo da hacker collegati al governo.

2022: Lapsus $ attacca

Nel corso del 2022, un gruppo di criminali informatici altamente capace che si fa chiamare Lapsus$ ha effettuato una serie di attacchi informatici contro alcuni dei più grandi nomi del settore tecnologico. Gli attacchi hanno portato in gran parte a violazioni e fughe di dati.

Lapsus$ ha effettuato principalmente attacchi contro i suoi obiettivi inducendo individui ignari a condividere inavvertitamente password o altre credenziali di accesso in un processo chiamato ingegneria sociale. Dopo aver ottenuto l’accesso a una rete aziendale tramite le credenziali nefaste ottenute, Lapsus $ ha rubato i dati e poi ha estorto all’azienda interessata il pagamento di un riscatto in cambio del fatto che il gruppo non divulgasse le informazioni rubate.

Le seguenti aziende sono state tra quelle colpite da Lapsus$ durante tutto l’anno:

  • NVIDIA (la violazione ha avuto un impatto su decine di migliaia di credenziali dei dipendenti e informazioni proprietarie)
  • Samsung (dati aziendali interni e codice sorgente per i dispositivi Samsung Galaxy rubati)
  • Ubisoft (incidente interrotto giochi e servizi aziendali)
  • Microsoft (porzioni di codice sorgente per Bing e Cortana rubate)
  • Uber (messaggi Slack interni e informazioni da uno strumento di fatturazione interno rubato)

Sembra che Lapsus$ abbia rallentato le sue operazioni nell’aprile 2022 dopo l’arresto di una serie di persone legate al gruppo. Il gruppo è tornato alla ribalta pochi mesi dopo, seguito da un’altra serie di arresti in settembre.

Lo sapevi?: Sebbene negli ultimi dieci anni gli incidenti di sicurezza informatica siano aumentati in termini di portata e sofisticazione, la maggior parte degli attacchi ha ancora inizio dagli stessi punti di partenza: errore umano, probabilmente dovuto a e-mail di phishing, nonché sistemi obsoleti o privi di patch che introducono tecniche vulnerabilità.

Le migliori pratiche di sicurezza informatica si evolvono parallelamente agli attacchi informatici

Con la combinazione di crescenti vulnerabilità della sicurezza e dipendenti che cadono preda di schemi web ed e-mail dannosi, le piccole imprese hanno bisogno di più protezione che mai. L’ascesa di varianti di malware come il ransomware ha cambiato radicalmente il potenziale distruttivo degli attacchi, così come gli impatti finanziari che le aziende devono essere preparate a sopportare. Fortunatamente, gli strumenti di mitigazione si sono evoluti parallelamente a questi attacchi. Le seguenti best practice possono aiutarti a proteggere la tua azienda man mano che aumentano i rischi per la sicurezza informatica.

Investi nella tecnologia e nella formazione dei dipendenti.

La formazione dovrebbe includere attività come esercizi di posta elettronica di phishing e insegnare ai dipendenti l’importanza di utilizzare password univoche e sicure. Inoltre, al personale dovrebbe essere insegnato a utilizzare l’autenticazione a più fattori, che richiede una password e un codice di sicurezza temporaneo aggiuntivo a cui solo il dipendente dovrebbe avere accesso, quando possibile. I lavoratori dovrebbero anche conoscere i segni che un computer è stato infettato da virus o malware.

Craig Kensek, chief marketing officer di IT-Harvest, ha sottolineato che proteggere la tua azienda dagli attacchi informatici non significa solo implementare soluzioni tecnologiche. Richiede una strategia poliedrica che coinvolga sia gli investimenti tecnologici che l’istruzione.

“La protezione più efficace dagli hack include educare la tua base di utenti a non fare clic su collegamenti rischiosi, capire come si manifesta il malware avanzato e disporre di un solido piano difensivo per la tua impronta informatica esposta”, ha affermato.

Sebbene Kensek abbia consigliato alle aziende di investire nella protezione da malware e nei prodotti di terza generazione, che includono la capacità di proteggere il traffico Web, e-mail e condivisione di file, la formazione dei dipendenti è al centro della mitigazione degli attacchi basati sul phishing.

“Prendere in considerazione la formazione sulla navigazione Web e assicurarsi che i dipendenti sappiano cosa cercare nei download di siti Web, nei sospetti collegamenti errati e nei social network. Avere una politica di utilizzo definita per il Web, le applicazioni, le condivisioni di file e le comunicazioni e-mail”, ha affermato Kensek.

Guarda la tua architettura di rete.

Gli attacchi informatici si sono evoluti in gran parte per sfruttare la crescente complessità delle reti aziendali. Le aziende non devono più proteggere solo pochi computer collegati tra loro su una rete fisica. Devono inoltre affrontare i rischi di attacchi informatici mobili derivanti da telefoni cellulari e tablet, la natura onnipresente del cloud e persino i dispositivi intelligenti connessi a Internet e l’Internet delle cose. Ognuno di questi fornisce ulteriori vie di attacco per gli hacker e può fungere da punto di accesso alla rete aziendale più ampia.

Le aziende possono aiutare a limitare la complessità della loro sicurezza informatica applicando l’architettura zero-trust (ZTA). ZTA è una pratica di sicurezza che si concentra su utenti, risorse e risorse con un occhio all’impostazione di controlli e gestione degli accessi appropriati. In sostanza, ZTA presuppone che qualsiasi rete sia già stata violata quando qualcuno tenta di ottenere l’accesso, indipendentemente da chi sia, e che gli amministratori dovrebbero concentrarsi sull’autenticazione e la convalida di tutti gli utenti.

Applicando ZTA, le aziende limitano l’ambito di qualsiasi potenziale violazione della sicurezza limitando l’accesso di ogni singolo utente. Inoltre, i sistemi ZTA monitorano le azioni tipiche dei dipendenti su una rete; se un utente si comporta in modo irregolare, il sistema lo segnalerà come sospetto, aiutando a individuare potenziali violazioni in azione.

Parla con i tuoi fornitori e diffondi le tue risorse.

“Per proteggerti, devi fare tutto il possibile per assicurarti che la società con cui hai registrato il tuo nome di dominio stia proteggendo quel nome di dominio”, ha affermato Cedric Leighton, fondatore e presidente di Cedric Leighton Associates, un’azienda di gestione strategica del rischio consulenza. Il problema è che la maggior parte delle aziende non dispone di una protezione adeguata, ha affermato.

“[La] chiave è avere qualcosa come OpenDNS, che registra i siti Web utilizzati da hacker come SEA [coinvolti nell’hacking del New York Times]”, ha affermato Leighton. “Quando i tentativi provengono da tali siti Web di reindirizzare il traffico Internet legittimo verso siti ‘cattivi’ o non autorizzati, la richiesta di farlo viene automaticamente bloccata. Sfortunatamente, la maggior parte delle persone non sa di dover indagare su questo per proteggersi da tali attacchi.”

Ciò significa che le aziende devono essere più informate sulle loro opzioni di sicurezza e disporre di piani di mitigazione e ripristino di emergenza stabiliti per non se ma quando si verifica un attacco.

Inizia con una conversazione approfondita con i tuoi fornitori di servizi Internet. Parla con loro non solo se sei protetto o meno, ma anche su come sei protetto in caso di attacco.

“Prima di tutto, devi chiedere al tuo [provider di servizi Internet], ‘Cosa farai se vengo attaccato?'”, ha detto Pierluigi Stella, chief technology officer di Network Box USA, un fornitore di sicurezza informatica. “Non sperare che dicano: ‘Ti proteggeremo noi.’ Non succederà. Molto probabilmente l’ISP risponderà: “Ti porteremo offline”.

Successivamente, determina esattamente quali aree del tuo sito Web devono essere protette, come il sito Web stesso e i tuoi server DNS. Per proteggersi da un attacco che abbatte i tuoi server DNS, Stella ha affermato che il tuo modus operandi dovrebbe essere quello di dividere e conquistare.

“Avere più DNS ospitati in luoghi diversi. Se vuoi davvero ospitare i tuoi server DNS, ospita un backup da qualche altra parte, magari con un registrar o forse con qualche altra grande azienda di web hosting con risorse sufficienti per non essere troppo preoccupato per gli attacchi DDoS. L’hosting del DNS non è un’impresa costosa e, se diffondi la tua presenza, è molto più difficile abbatterti completamente”, ha affermato Stella.

Per mantenere il tuo sito web online e prevenire la perdita di dati, Stella consiglia di conservare le copie nel cloud storage. Se gli aggressori bloccano il tuo sito Web principale, sarai in grado di riconfigurare il tuo DNS in modo che punti al sito Web secondario per il momento, ha affermato.

Applica la “difesa in profondità”.

Man mano che gli attacchi informatici diventano più complessi, le aziende devono pensare oltre gli approcci di sicurezza universali. I giorni in cui si installava un firewall e un software antivirus e si finiva purtroppo sono finiti. Ora, le aziende devono prepararsi con una strategia di sicurezza di difesa approfondita.

Si riferisce a un’efficace politica di sicurezza informatica aziendale che prevede un approccio multilivello alla sicurezza. Firewall e programmi antivirus sono ancora difese integrali, ma questi strumenti non sono più sufficienti per proteggere i tuoi dispositivi dagli hacker. Invece, dovrebbero essere combinati con elementi come ZTA, formazione dei dipendenti, connessioni VPN per i lavoratori remoti, migliori soluzioni di monitoraggio dei dipendenti e crittografia del computer per tutti i dati.

Sebbene nessuna soluzione di sicurezza sia infallibile, la stratificazione delle difese aumenta notevolmente le probabilità di ridurre al minimo gli esiti peggiori di qualsiasi incidente di sicurezza che si verifichi.

Non trascurare la manutenzione.

Un tema comune tra alcuni dei peggiori attacchi informatici dell’ultimo decennio è stato il modo in cui gli aggressori sono riusciti a ottenere l’accesso ai sistemi interessati tramite vulnerabilità del software senza patch. Le aziende possono aumentare in modo significativo la loro sicurezza informatica complessiva controllando regolarmente i propri sistemi e creando un inventario aggiornato di tutto il software e l’hardware, annotando la versione di ciascun programma e l’ultima volta che è stato aggiornato.

Dopo aver creato questo inventario, le aziende dovrebbero mantenere un regolare programma di gestione delle patch. Le aziende dovrebbero anche iscriversi agli avvisi dei fornitori che avvertono di vulnerabilità critiche che dovrebbero essere corrette il prima possibile. Se lavori con un MSP, assicurati che stiano anche monitorando e applicando le patch a una cadenza accettabile.

Prepararsi al peggio

Gli attacchi informatici sono diventati più comuni, più sofisticati e più distruttivi negli ultimi dieci anni. Sfortunatamente, le aziende continuano a dover affrontare tassi più elevati di criminalità informatica anno dopo anno. Le aziende di tutte le dimensioni dovrebbero prepararsi agli scenari peggiori nella loro pianificazione della sicurezza.

C’è un lato positivo, però. Sebbene non esista una sicurezza perfetta, le aziende possono ridurre notevolmente le possibilità di un attacco dannoso seguendo le migliori pratiche di sicurezza informatica, come quelle descritte sopra. Queste pratiche possono trasformare un incidente di sicurezza informatica dall’essere potenzialmente un attacco che blocca l’attività a un momento di caos controllato. Scopri di più nella nostra guida dettagliata sulla sicurezza informatica per le piccole imprese.

Sara Angeles ha contribuito a questo articolo. Le interviste alla fonte sono state condotte per una versione precedente di questo articolo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *