Il 73% delle aziende fa parte di una botnet e potrebbero essere violate dai cyber criminali

L’attacco ad Anthem, il secondo principale player delle assicurazioni sanitarie negli Stati Uniti, che ha esposto dati personali identificabili di decine di milioni di persone, probabilmente non è stato un semplice “furto con scasso”, ma piuttosto il risultato di un’operazione di basso profilo, costante e durata per mesi. L’attacco era stato progettato per restare al di sotto del radar dei team di sicurezza e IT dell’azienda, utilizzando un’infezione bot per portare furtivamente i dati al di fuori dell’organizzazione.

Secondo le dichiarazioni rilasciate da Anthem, i primi segnali dell’attacco sono arrivati a metà della scorsa settimana, quando un amministratore IT ha notato una query del database avvenuta utilizzando il suo codice identificatore senza che questa fosse ancora stata effettivamente lanciata da lui. L’azienda ha riscontrato che era avvenuto un attacco, e ne ha informato l’FBI affidandosi a un consulente di sicurezza esterno per indagare.

Gli investigatori hanno riscontrato che un malware personalizzato era stato utilizzato per infiltrarsi nelle rete di Anthem e rubare i dati. Il tipo esatto di malware non è stato reso noto, ma le informazioni parlano della variante di una famiglia già nota di strumenti di hacking.  Tuttavia, un consulente indipendente di sicurezza ha spiegato che l’attacco potrebbe aver avuto inizio già ben tre mesi prima. L’analista ha affermato di aver notato “un’attività di tipo botnet” presso aziende affiliate ad Anthem addirittura a novembre 2014.

Questo non sorprenderebbe, poiché un’attività bot di lungo termine è comune nelle aziende.  Il Security Report 2014 di Check Point, sulla base di eventi monitorati in oltre 10.000 organizzazioni in tutto il mondo, ha rilevato la presenza di bot nel 73% delle aziende, in crescita rispetto al 63% dell’anno precedente. Il 77% delle bot erano attive da almeno quattro settimane, e comunicavano in media con il loro ‘command & control’ ogni tre minuti.

Le bot sono in grado di evitare il rilevamento poiché i loro sviluppatori utilizzano strumenti di offuscamento per consentir loro di bypassare le soluzioni antimalware tradizionali basate su signature. Per questo la threat emulation, nota anche come sandboxing, dovrebbe essere utilizzata come layer ulteriore di difesa per fermare le bot prima che possano infettare le reti. E soluzioni anti-bot dovrebbero essere implementate per aiutare a identificare le bot, e prevenire ulteriori breach bloccando le loro comunicazioni.

È anche importante che le organizzazioni segmentino le loro reti, separando ogni segmento con layer di sicurezza per prevenire che le infezioni bot si diffondano in maniera estesa.  La segmentazione può contenere le infezioni in un’area limitata della rete, mitigando così il rischio che l’infezione si propaghi ad altri segmenti della rete e ne violi i dati sensibili.

Con queste tre attività preventive, le aziende possono ridurre drasticamente l’esposizione rispetto agli attacchi bot lenti e costanti, come quello che sembra abbia colpito Anthem, ed evitare di essere vittime di una violazione di queste dimensioni.

A cura di David Gubiani, Technical Manager di Check Point Software Technologies Italia

David Gubiani, Technical Manager di Check Point