Un operatore criminale, NetSec, ha messo in vendita 34 mila credenziali IBM su un forum underground. Il team di Threat Intelligence di Yoroi ha verificato il campione messo in offerta e ha ritenuto di allertare il pubblico sui pericoli relativi a questa scoperta. Nel campione sono presenti gli indirizzi aziendali di impiegati operanti in Italia, Marocco, Spagna, Stati Uniti e di altri paesi.
Il campione di credenziali IBM in vendita è composto sia da indirizzi email validi di impiegati della nota azienda multinazionale americana, che delle relative password in forma codificata. Seppure non siano disponibili in chiaro, il semplice possesso di queste password consente di effettuare una serie di attacchi sia diretti che mediati dall’ingegneria sociale.
Lo stesso attore, con una certa reputazione di affidabilità nell’underground criminale, offre anche 15 mila credenziali IBM relative a impiegati SAP, una multinazionale europea specializzata nella produzione di software gestionali e soluzioni informatiche per le imprese.
Marco Ramilli, Ceo di Yoroi – Gruppo Tinexta, dichiara: “Purtroppo il digitale che ci offre tante opportunità rende possibile anche a piccoli gruppi criminali di compromettere le difese di giganti industriali con poche decine di ore di lavoro. Ora è necessario comprendere meglio l’importanza dei dati e la profondità dell’eventuale compromissione. SAP è presente su numerose organizzazioni a livello globale, è assolutamente necessario comprendere se e quali ricadute vi possono essere”.
Le password offerte dal venditore sono in forma di hash. Un hash è una stringa alfanumerica generata a partire dalla password tramite particolari algoritmi crittografici che consentono di “offuscare” la password vera e propria e portarla ad una lunghezza uniforme, indipendentemente dalla dimensione del valore di partenza.
Ma anche le credenziali in vendita di IBM sul dark web così codificate possono essere superate con specifiche tecniche di attacco e sfruttate per impersonificare specifiche utenze, e utilizzate da attori malevoli per eseguire codice o accessi abusivi a sistemi informativi.
Come difendersi, i consigli di Yoroi
La prevenzione è importante. Hardening dei sistemi, introduzione di sistemi di protezione all’avanguardia, installazione di moduli software contro attività di hash dumping, aumentano la difficoltà di attacco per l’attaccante che cerca la compromissione di host e l’ottenimento di hash e aiutano a difendersi.
Minimizzare i tipi di logon per account privilegiati e prediligere metodi non interattivi per la gestione amministrativa degli host, hanno invece lo scopo di ridurre la presenza di hash salvati sulle macchine che potrebbero essere compromesse da un attaccante. In parallelo è opportuno assegnare agli amministratori solo i diritti che necessitano per il loro operato.
Inoltre, intercettare attività relative all’uso di tecniche di attacco specifiche o a tutte le azioni preventive che un attaccante compie per effettuarlo, può facilitare la localizzazione dell’attaccante e il conseguente contenimento dell’attacco.
Tutto questo perché, secondo Marco Ramilli: “Non importa la dimensione dell’organizzazione, è ormai evidente che siamo tutti soggetti ad attacchi. Però sono accadimenti come questi che continuano a mostrarci quanto la sicurezza informatica sia un ciclo atto al continuo miglioramento. Non possiamo mai ritenerci completamente sicuri. Ma bisogna insistere con un continuo lavoro. attento e meticoloso, possibile con occhi vigili e tecnologie abilitanti”.
Yoroi consiglia di mantenere alto il livello di consapevolezza degli impiegati e dei clienti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
IBM risponde alla segnalazione e dichiara: “Stiamo attualmente indagando Ricordiamo che l’autenticazione a più fattori è una delle misure di sicurezza richieste dalle procedure operative IBM per l’accesso ai sistemi. Non risulta che sia stato effettuato un accesso inappropriato ai sistemi IBM o dei clienti”.