Attacco hacker ruba credenziali degli account Office 365 e G Suite

attacco hacker
attacco hacker
I cyber-criminali hanno aggirato il sistema di autenticazione a due fattori sfruttando le debolezze del sistema di posta elettronica.

Ci sono voluti sei mesi di indagini per scoperchiare uno dei più grandi attacchi mai individuati ai danni delle aziende.

La campagna di cyber-spionaggio ha compromesso almeno 100.000 account aziendali. Questo secondo Proofpoint, che nel suo report spiega la tecnica utilizzata e i numeri relativi a un’operazione di infiltrazione che ha pochi precedenti nella cronaca.

Si tratta di un classico attacco di brute forcing “intelligente”, che ha preso di mira i servizi IMAP di G Suite e Office 365. La scelta di puntare sul servizio di posta elettronica ha una motivazione precisa: non prevede l’uso di sistemi di autenticazione a due fattori previsto invece per il login ai servizi cloud di Microsoft e Google.

Non solo: bilanciando con attenzione il numero di tentativi di login, i pirati sono riusciti a passare inosservati, facendo in modo che gli attacchi fossero dei semplici tentativi falliti di accesso da parte degli utenti.

La tecnica si chiama password spraying e prevede di invertire la tecnica normalmente usata per il brute forcing: al posto di provare numerose password su un singolo account, si prova la stessa password su un gran numero di account. In questo modo i tentativi di accesso vengono “diluiti” e non scatta nessun allarme a livello di sicurezza.

La parte sorprendente, oltre all’ampiezza di un attacco che avrebbe “toccato” il 2% degli account attivi nel mondo, è la percentuale di successo. I pirati sarebbero infatti riusciti a compromettere l’1% degli account presi di mira.

Può sembrare poco, ma quando si girano i dati in un altro modo, si scopre che questo significa che sono stati violati 15 su 10.000 degli account attivi al mondo o, ancora, che il 40% degli utilizzatori monitorati dai ricercatori hanno subito una violazione nei loro sistemi.

Secondo gli analisti di Proofpoint, i pirati avrebbero ottenuto questi risultati straordinari grazie all’uso del credential stuffing, cioè utilizzando i database contenenti credenziali rubate (come il gigantesco Collection#1) per creare varianti delle password più utilizzate.

Attacco IMAP G Suite Office 365

Il grafico, che rappresenta il numero di attacchi riusciti per ogni mese, sembra confermare questa analisi. Le violazioni andate a segno, infatti, hanno un picco proprio quando è comparso Collection#1.

Gli attacchi, a quanto si legge, sarebbero partiti da migliaia di dispositivi compromessi (per la maggior parte router e server) dislocati nel mondo. La maggior parte degli attacchi rilevati risultano provenire dalla Nigeria (40%) e dalla Cina (26%).

Nel considerare questi dati, però, è bene tenere presente che i cyber-criminali utilizzano sistemi di VPN per nascondere la vera origine degli attacchi. Queste informazioni, di conseguenza, indicano solo dove si trovano i principali “punti di uscita” che usano.

Ma qual è lo scopo dei cyber-criminali che stanno portando questo vero assalto agli account di aziende e organizzazioni in tutto il mondo?

Il report spiega che gli attacchi agli account Office e G Suite sono solo il primo passo per una più ampia attività criminale. Questa infatti prevede l’uso di classiche tecniche di “movimento laterale” all’interno dei sistemi.

Attacco IMAP G Suite Office 365

Tutta la vicenda mette in luce ancora una volta come l’utilizzo dei servizi cloud abbia notevolmente ampliato la superficie di attacco a disposizione dei pirati. Possono infatti contare su nuovi strumenti di attacco e sulle difficoltà che gli esperti di sicurezza stanno vivendo nel controllare infrastrutture sempre più “atomizzate”.

Windows, attenzione a questo file

windows

Super minaccia per Windows.

Di recente è stata scoperta e resa nota “l’esistenza di una vulnerabilità zero-day nel gestore contatti in formato vCard”. Questa “può consentire ad un attaccante remoto di eseguire codice arbitrario” sul sistema colpito.

È quanto fa sapere il CERT – Computer Emergency Response Team. Il termine zero-day “indica una minaccia informatica che sfrutta vulnerabilità di applicazioni software non ancora divulgate o per le quali non è ancora presente una patch. Gli attacchi zero-day rappresentano una minaccia molto grave, in quanto sfruttano falle di sicurezza per le quali non è al momento disponibile nessuna soluzione”.

Come segnalato agli esperti dalla società Yoroi, “la criticità è originata da lacune di validazione nei campi di contatto all’interno dei file vCard con estensione ‘.contact’ o ‘.vcf’. Una volta aperti in lettura, questi possono permettere la compromissione della macchina bersaglio tramite l‘esecuzione di codice arbitrario. La vulnerabilità può essere sfruttata in scenari di spear-phishing, nei quali gli attaccanti invitano le potenziali vittime a visionare contatti all’interno di vCard appositamente predisposte”.

LE VERSIONI COLPITE – Risultano colpite da questa vulnerabilità “Windows 10, 8, 7 e Vista. Al momento – aggiungono gli esperti del CERT -, Microsoft non ha rilasciato aggiornamenti specifici che risolvono questa problematica”.

Anche se ad oggi non sembrano esserci stati attacchi concreti che sfruttano questa vulnerabilità, si suggerisce agli utenti di esercitare le dovute cautele nel caso di ricezione di email inattese contenenti allegati ‘.contact’ o ‘.vcf'”.

La polizia postale allerta: “È in corso un attacco di spamming a scopo estorsivo”

spamming polizia postale

Da qualche settimana è in corso una massiccia attività di spamming a scopo estorsivo: gli utenti ricevono email in cui vengono informati dell’hackeraggio del proprio account di posta elettronica a opera di un gruppo internazionale di criminali, i quali chiedono un pagamento in bitcoin per non diffondere materiale compromettente. La polizia postale assicura che “nulla di ciò è reale” e invita gli utenti a non pagare.

 

allerta spamming

All’interno del comunicato (qui l’originale) , gli utenti vengono informati che la loro casella di posta elettronica è stata infettata da un virus mentre venivano visitati siti a luci rosse, e la minaccia è quella di diffondere a tutti i contatti il tipo di sito visitato.

La polizia postale specifica però che si tratta solo di spamming, “un’invenzione dell’autore del reato, elaborata al solo scopo di gettarci nel panico ed indurci a pagare la somma illecita: è tecnicamente impossibile, infatti, che chiunque, pur se entrato abusivamente nella nostra casella di posta elettronica, abbia potuto solo per questo motivo installare un virus in grado di assumere il controllo del nostro dispositivo, attivando la webcam o rubando i nostri dati”.

La polizia postale consiglia dunque di “mantenere la calma: il criminale non dispone, in realtà, di alcun filmato che ci ritrae in atteggiamenti intimi né, con tutta probabilità, delle password dei profili social da cui ricavare la lista di nostri amici o parenti”. Dunque bisogna evitare di pagare il riscatto: “L’esperienza dimostra che, persino quando il criminale dispone effettivamente di nostri dati informatici, pagare il riscatto determina quale unico effetto un accanimento nelle richieste estorsive, volte ad ottenere ulteriore denaro”.

In ogni caso è sempre bene “proteggere adeguatamente la nostra email (e in generale i nostri account virtuali): cambiare la password, impostandone una complessa; non utilizzare mai la stessa password per più profili; abilitare, ove possibile, meccanismi di autenticazione “forte” ai nostri spazi virtuali, che associno all’inserimento della password, l’immissione di un codice di sicurezza ricevuto sul nostro telefono cellulare”.

Infine la polizia spiega che “l’inoculazione (quella vera) di virus informatici capaci di assumere il controllo dei nostri dispositivi può avvenire soltanto se i criminali informatici abbiano avuto disponibilità materiale dei dispositivi stessi, oppure qualora siano riusciti a consumare, ai nostri danni, episodi di phishing informatico: è buona norma quindi non lasciare mai i nostri dispositivi incustoditi (e non protetti) e guardarsi dal cliccare su link o allegati di posta elettronica sospetti”.