Il Cybersecurity Action Team di Google ha appena pubblicato la prima edizione in assoluto di un bollettino dal titolo Cloud Threat Intelligence.
Gli avvertimenti principali sono davvero sorprendenti (i visitatori abituali di Naked Security ne avranno letto sul blog per anni) e si riassumono in due fatti principali.
In primo luogo, i truffatori si presentano rapidamente: a volte, essi impiegano giorni per trovare istanze cloud non sicure appena avviate e per irrompere, ma Google ha scritto che i tempi di “scoperta – interruzione – entrata” sono di “soli 30 minuti”.
Nella ricerca di Sophos condotta due anni fa, nella quale ci siamo prefissi di misurare quanto tempo impiegassero i criminali informatici ad arrivare a farci visita, i nostri honeypot avevano registrato tempi di prima chiamata di 84 secondi su RDP e 54 secondi su SSH.
Immagina se ci volesse solo un minuto dopo aver chiuso il contratto di acquisto della tua nuova casa perchè i primi truffatori arrivassero furtivamente dal tuo vialetto per provare a scassinare tutte le tue porte e finestre!
Attaccare non importa chi o cosa
È importante sottolineare che, nella nostra ricerca, le istanze cloud che abbiamo utilizzato non erano il tipo di server cloud che un’azienda qualunque avrebbe creato, dato che non erano mai state effettivamente denominate tramite DNS, pubblicizzate, collegate o utilizzate per alcuno scopo del mondo reale.
In altre parole, i primi truffatori ci hanno trovato in circa un minuto solo per il fatto che ci siamo affacciati su internet: siamo stati attaccati anche se abbiamo fatto di tutto mantenere un profilo minimale.
Non hanno dovuto aspettare che fossimo noi stessi a pubblicizzare i nostri server, come si fa di solito per avviare un nuovo sito Web, blog o sito di download.
Allo stesso modo, i criminali non hanno dovuto aspettare finché non abbiamo stabilito i server come target API di rete standard (conosciuti in gergo, in modo leggermente ambiguo, come endpoint) e iniziato a generare noi stessi traffico visibile che poteva essere individuato utilizzando quei servizi online.
Nel mondo reale, quindi, la situazione è probabilmente anche peggiore rispetto alla nostra ricerca, dato che sei sicuramente un bersaglio generico e automatico per i truffatori che semplicemente scansionano, scansionano e scansionano nuovamente Internet alla ricerca di chiunque; e potresti anche essere un bersaglio specifico e interessante per i truffatori che sono alla ricerca non solo di chiunque, ma di qualcuno.
In secondo luogo, le password deboli sono ancora la via principale: Google ha confermato che le password deboli non sono solo una cosa usata dai criminali informatici per le intrusioni nel cloud, ma La cosa.
Tecnicamente, le password deboli non avevano una maggioranza assoluta nella lista del “come sono entrati?” di Google, ma il 48% l’aveva scampata per un pelo.
In particolare, le cantonate nella sicurezza delle password erano molto più in alto nella classifica rispetto alla seguente tecnica più probabile di intrusione, e cioè un software senza patch.
Probabilmente avevi già immaginato che la mancata applicazione di patch sarebbe stata un problema, data la frequenza con cui ne scriviamo: un software vulnerabile lascia entrare il 26% degli aggressori.
Ironicamente, se a questo punto possiamo fare un sorriso ironico, il 4% delle intrusioni di Google sarebbe stato causato da utenti che avevano pubblicato accidentalmente le proprie password o chiavi di sicurezza caricandole per errore durante la pubblicazione di materiale open source su siti come GitHub.
E il ransomware?
Sappiamo cosa stai pensando.
“Sicuramente le intrusioni riguardavano solo ransomware”, potresti dire, “perché questo è l’unico problema di sicurezza informatica di cui vale la pena preoccuparsi in questo momento”.
Sfortunatamente, se stai pensando solo al ransomware, mettendolo da solo al primo posto e relegando tutto il resto nel dimenticatoio, allora non ti stai occupando della tua sicurezza informatica in modo abbastanza ampio.
Il problema del ransomware è che è quasi sempre il capolinea per i criminali nella tua rete, perché l’intera idea che sta alla sua base è attirare la massima attenzione su sé stesso.
Come sappiamo grazie al lavoro del team di Sophos Rapid Response, gli aggressori ransomware non lasciano alcun dubbio alle loro vittime sul fatto che siano ovunque nella loro vita digitale.
Le notifiche di ransomware di oggi non si basano più semplicemente sul mettere teschi in fiamme sul desktop Windows di tutti e chiedere soldi in questo modo.
Abbiamo visto truffatori stampare richieste di riscatto su ogni stampante dell’azienda (compresi i terminali dei punti vendita, in modo che anche i clienti sapessero cosa era appena successo) e minacciare i dipendenti individualmente utilizzando dati rubati altamente personali.
Li abbiamo persino sentiti lasciare messaggi vocali da brividi che spiegavano con dettagli spietati come intendevano porre fine ad una attività se non si fosse stati al loro gioco.
Cosa è successo davvero dopo?
Bene, nel rapporto di Google, tutti gli elementi tranne uno nell’elenco “azioni dopo la compromissione” hanno coinvolto i criminali informatici che utilizzano la tua istanza cloud per danneggiare qualcun altro, tra cui:
- Ricerca di nuove vittime dal tuo account.
- Attacco ad altri server dal tuo account.
- Diffusione di malware verso altre persone utilizzando i tuoi server.
- Lancio di DDoS, abbreviazione di attacchi “distributed denial of service”.
- Invio di spam che mette nella blacklist te, ma non i truffatori.
Ma in cima alla lista, apparentemente nell’86% delle compromissioni riuscite, c’è il cryptomining.
È lì che i truffatori usano la tua potenza di elaborazione, il tuo spazio su disco e la tua memoria – in poche parole, ti rubano denaro – per estrarre la criptovaluta che poi tengono per sé.
Ricorda che il ransomware non funziona per i truffatori se hai un server cloud appena configurato che non hai ancora sfruttato appieno, perché quasi certamente non c’è nulla sul server che i criminali potrebbero usare per ricattarti.
I server sottoutilizzati sono insoliti nelle reti normali, perché non puoi permetterti di lasciarli inattivi dopo averli acquistati.
Ma non è così che funziona nel cloud: puoi pagare una somma modesta per avere la capacità del server a tua disposizione per quando potresti averne bisogno, senza enormi costi di capitale iniziali prima di avviare il servizio.
Inizi a spendere somme importanti solo se inizi a utilizzare pesantemente le risorse allocate: un server inattivo è un server economico; solo quando il tuo server è occupato inizi davvero ad accumulare le spese.
Se hai fatto bene i tuoi calcoli, ti aspetti di uscirne in attivo, dato che un aumento del carico lato server dovrebbe corrispondere ad un aumento del business lato client, in modo che i tuoi costi aggiuntivi siano automaticamente coperti da entrate aggiuntive.
Ma non c’è niente di questo equilibrio economico se i truffatori stanno pesantemente utilizzando per il proprio vantaggio finanziario i tuoi server che dovrebbero essere inattivi.
Invece di pagare una minima cifra al giorno per avere la potenza del server in attesa per quando ne avrai bisogno, potresti pagare migliaia di euro al giorno per far guadagnare gli altri.
https://nakedsecurity.sophos.com/2020/06/09/cryptomining-criminals-under-the-spotlight-a-sophoslabs-report/
Che fare?
- Scegli password corrette. Guarda il nostro video su come sceglierne una valida e leggi i nostri consigli sui gestori di password.
- Usa la 2FA dove e quando puoi. Se utilizzi un gestore di password, imposta la 2FA per aiutarti a mantenere sicuro il tuo database di password.
- Aggiorna subito, aggiorna spesso. Non concentrarti solo sui cosiddetti zero-day che i truffatori già conoscono. Le patch per le falle di sicurezza vengono regolarmente decodificate per capire come sfruttarle, spesso da ricercatori di sicurezza che poi rendono pubblici questi exploit, presumibilmente per educare tutti sui rischi. Tutti, ovviamente, includono il cyberunderworld.
- Investi in una protezione proattiva della sicurezza del cloud. Non aspettare fino all’arrivo della tua prossima fattura cloud (o fino a quando la società della tua carta di credito non ti invia un avviso sul saldo del conto!) prima di scoprire che ci sono criminali che accumulano commissioni e lanciano attacchi a tuo carico.
Pensala in questo modo: provvedere alla tua sicurezza cloud è il tuo miglior atto di altruismo.
Devi farlo comunque, per proteggerti, ma così facendo proteggi anche tutti gli altri che altrimenti verrebbero attaccati da DDoS, spammati, controllati, violati o infettati attraverso il tuo account.