Initial Access Broker, criminali a caccia di identità

Il 2022 è stato un anno contrassegnato da attacchi informatici sempre più sofisticati. In quello che sta diventando un vero e proprio mercato della cybercriminalità organizzata, spicca l’ascesa della figura dell’Initial Access Broker (IAB), ovvero colui che - attraverso le proprie competenze tecniche - acquisisce credenziali e accesso alle reti delle organizzazioni per poi venderle a terzi, con prezzi basati sulle dimensioni dell’azienda e sul livello di privilegi all’interno della rete compromessa.

Secondo il Global Threat Report 2023 di CrowdStrike, nel 2022 c’è stato un vero e proprio boom degli IAB. Si parla di oltre 2.500 servizi di access broker identificati durante lo scorso anno e di un aumento del 112%, rispetto al 2021, del numero di annunci di access broker sul dark web. Gli attacchi diventano inoltre più rapidi e complessi. Secondo le stime di CrowdStrike, oggi il tempo medio di breakout per i criminali informatici è di 84 minuti, con una crescita del 50% del numero di intrusioni interattive e del 95% di attività incentrate sul cloud nel corso del 2022. L’indagine CrowdStrike ha infine evidenziato l’assenza di malware nel 71% degli attacchi da loro rilevati, proprio perché quando si ottiene la chiave di accesso a una rete (l’attività, appunto, degli IAB) non è più necessario distribuirlo. Da tenere presente, infine, una tendenza significativa al furto di dati di figure aziendali di alto profilo, così come l’utilizzo di tecniche di social engineering per superare l’autenticazione a più fattori.

Proteggere l’identità

L’esplodere dei gruppi criminali degli Initial Access Broker e del social engineering pone l’attenzione sull’importanza di proteggere l’identità all’interno delle imprese, tassello chiave di una strategia di sicurezza efficace. Questo aspetto è stato rilevato altresì dal “Rapporto Clusit 2023 sulla sicurezza ICT in Italia” pubblicato a marzo da Clusit, l’Associazione Italiana per la Sicurezza Informatica. Lo studio sottolinea come proprio gli attacchi basati sull’identità siano difficili da rilevare, considerato il continuo ampliarsi, per molte aziende, della superficie di attacco. Altrettanto vero è che autenticare ogni identità e autorizzare ogni richiesta rappresenta, per numerose realtà, un punto critico.

Come agire? L’incremento degli attacchi sul cloud è spesso collegato alla diffusione dello smart working e quindi alla possibilità di potersi connettere all’azienda da qualsiasi posto. Anche fornitori o clienti possono poi essere compromessi e offrire ai criminali una breccia nell’infrastruttura. Alla vulnerabilità dell’ambiente cloud si può far fronte concedendo agli utenti i livelli minimi di accesso necessari a poter svolgere il loro lavoro, nonché facendo ricorso all’autenticazione a più fattori.

Strategico, secondo il Rapporto Clusit, è l’approccio “zero trust”, in cui tutti gli utenti, sia all’interno che all’esterno della rete dell’organizzazione, sono autenticati, autorizzati e continuamente convalidati prima che venga concesso o mantenuto loro l’accesso alle applicazioni e ai dati. In un modello “zero trust”, ogni movimento viene sempre monitorato così come ogni punto di accesso e di richiesta di accesso vengono sempre analizzati. Allo stesso modo, è importante mantenere aggiornati tutti i sistemi con le ultime patch di sicurezza in modo che gli IAB non possano sfruttare le vulnerabilità del software, come pure è utile testare la rilevazione e la risposta alle minacce, analizzare gli ambienti e i comportamenti degli utenti in caso di attività malevole o anormali. Infine, è necessario insistere sulla formazione del personale per creare maggiore consapevolezza tra i dipendenti.

I rischi

Difendere l’identità all’interno delle organizzazioni è davvero un tema da non trascurare, poiché le conseguenze di un attacco da parte di Initial Access Broker implica diverse ripercussioni. Accanto ai costi finanziari diretti della gestione dell’attacco IAB, le imprese possono anche subire danni alla loro reputazione e la perdita di fiducia da parte dei clienti. La violazioni dei dati e il furto di informazioni sensibili, ad esempio, possono avere conseguenze a lungo termine per le attività aziendali.

Una delle tendenze più preoccupanti è il crescente utilizzo di attacchi alla supply chain da parte degli IAB. Ciò implica prendere di mira fornitori o appaltatori di terze parti che hanno accesso alla rete di un’organizzazione, piuttosto che attaccare direttamente quest’ultima: un approccio che consente agli IAB di aggirare alcune delle misure di sicurezza messe in atto dalle aziende e ottenere più facilmente l’accesso alle loro reti.

Non da ultimo, oltre ai rischi immediati posti dagli IAB, esistono anche problemi di identità più ampi che le organizzazioni devono considerare. Ad esempio, se i dipendenti di un’azienda riutilizzano le password su più account o non utilizzano metodi di autenticazione avanzata, diventa più facile per i criminali informatici ottenere l’accesso ai loro sistemi. Allo stesso modo, se un’organizzazione non dispone di protocolli di gestione dell’identità e degli accessi adeguati, può essere difficile tenere traccia di chi ha accesso a quali dati, rendendo più facile per gli IAB non essere rilevati.

In conclusione, il fenomeno crescente degli Initial Access Broker indica la necessità per le imprese di un’efficace protezione delle identità, raggiungibile attraverso solide misure di sicurezza informatica, supportate da adeguata formazione e sensibilizzazione in azienda.