I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

Data breach: implicazioni operative

Si sa che i criminali approfittano delle condizioni favorevoli; la natura con le sue regole elementari ma intramontabili, ci insegna che l’animale predatore fa leva su due caratteristiche: destrezza e vulnerabilità. Lo stesso vale, al di fuori della metafora, per i criminali informatici. Durante la pandemia da Covid, circostanza di estrema e innovativa vulnerabilità collettiva, sono aumentati gli attacchi informatici in modo esponenziale; nel caso, poi, che il target dell’attacco doloso sia un’azienda sanitaria, l’attaccante ha potuto sfruttare una serie di vulnerabilità uniche.

Le aziende sanitarie hanno dovuto fronteggiare «un repentino cambio di organizzazione dell’attività lavorativa di ogni giorno, immettendo in via generalizzata nuovi strumenti (ad es. VPN) per consentire, da una parte, la possibilità di smart and remote working, e, dall’altra parte, permettendo senza soluzione di continuità l’espletamento delle mansioni in favore dell’altissimo numero di soggetti impattati dal virus».

La vicenda oggetto di questa puntata (v. provv. Garante del 28 settembre 2023, doc. web n. 9941232) ne è un esempio sintomatico da cui possono trarsi spunti per meglio calibrare le proprie difese contro ipotesi di data breach.

Vicenda

Un’azienda sanitaria metropolitana subisce un attacco ransomware che determina un grave impatto sulle proprie attività operative.

Avvalendosi di credenziali di user rubate e pubblicate sul dark web, gli hacker malevoli effettuano una serie di accessi abusivi, via VPN da IP estero, alla rete interna dell’azienda e, subito dopo, procedono all’innalzamento dei propri privilegi a quelli di amministratori di sistema (AdS). Il furto delle password è stato agevolato dalla loro creazione con modalità di active directory di Microsoft secondo le seguenti regole: almeno 8 caratteri, presenza nella chiave di caratteri maiuscoli, minuscole e numeri, oltre a scadenza automatica dopo un lasso di tempo dal rilascio.

L’acquisizione di credenziali col profilo AdS consente ai criminali di aprire nuove vie di accesso e di diffondere tool di comando e controllo remoto (Cobalt Strike). In seguito, essi attuano un’attività di raccolta massiva di documenti e reperti residenti su device dei dipendenti, poi esfiltrati (cosiddetto harvesting o data extraction).

————————–

CONSIDERAZIONI: È prassi consolidata che i cybercriminali attaccano i soggetti che presentano maggiori vulnerabilità: ciò consente loro un minore consumo di risorse a parità di risultato. Non molto dissimile da quanto avviene in natura tra predatore e preda. Nella maggior parte dei casi, la violazione viene innescata dall’uso abusivo di credenziali di un utente comune – acquisite tramite operazioni di phishing o (come nel caso in esame) disponibili a basso prezzo sul dark web. L’accesso alla rete interna della vittima è propedeutico al “salto di qualità” conseguito col passaggio del ruolo dell’attaccante da semplice “user” a “AdS”, mediante l’acquisizione dolosa di credenziali con privilegi oppure ottenendo direttamente l’innalzamento dei propri privilegi iniziali. Con questa operazione l’attaccante può ambire ad acquisire il controllo della rete, spesso operando indisturbato anche per periodi prolungati. Il rispetto delle prescrizioni contenute nei provvedimenti del Garante del 2008/2009 sugli amministratori di sistema [doc. web n. 1577499doc. web n. 1626595] rappresenta una buona garanzia di contrasto riguardo a tali evenienze.

Continua….

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

Sei già abbonato?

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form