Un attore criminale, identificato con il nickname NetSec, ha messo in vendita su un forum underground ben 34mila credenziali di IBM e 15mila riconducibili a impiegati SAP, multinazionale europea leader nella produzione di software gestionale e soluzioni informatiche per le imprese.
Luca Mella, esperto di cyber security, chiarisce a Cybersecurity360.it che “ci sono account business IBM che terminano con dominio uk del 2017, quindi il data breach dovrebbe essere di qualche anno fa”.
Indice degli argomenti
Credenziali IBM e SAP in vendita: cosa sappiamo
A identificare l’operazione criminale è stato appunto il team di Threat Intelligence di Yoroi, secondo cui “il campione in vendita è composto sia da indirizzi email validi di impiegati della nota azienda multinazionale americana, che delle relative password in forma codificata. Seppure non siano disponibili in chiaro, il semplice possesso di queste password consente di effettuare una serie di attacchi sia diretti che mediati dall’ingegneria sociale”.
Tra i dati esfiltrati alle due multinazionali sono presenti gli indirizzi aziendali di impiegati operanti in Italia, Marocco, Spagna, Stati Uniti e di altri paesi.
Cosa potrebbe essere successo
Mella spiega ancora al nostro giornale che al momento ci sono due ipotesi: “o un sistema di back office IBM è rimasto esposto oppure c’è stato un problema di supply chain che ha portato fuga di dati, per un fornitore con sistemi (e relative pw) sincronizzati con IBM”. “Il data breach SAP e IBM potrebbero essere collegati, nel secondo che l’applicativo di synch potrebbe essere stato di SAP”, aggiunge
I rischi
Secondo Marco Ramilli, Ceo di Yoroi – Gruppo Tinexta, “il digitale che ci offre tante opportunità rende possibile anche a piccoli gruppi criminali di compromettere le difese di giganti industriali con poche decine di ore di lavoro. Ora è necessario comprendere meglio l’importanza dei dati e la profondità dell’eventuale compromissione. SAP è presente su numerose organizzazioni a livello globale, è assolutamente necessario comprendere se e quali ricadute vi possono essere”.
Il pericolo più grande di questo nuova fuga di tati è dato dalla disponibilità soprattutto delle password associate agli account di IBM e SAP.
Come fanno notare i ricercatori di Yoroi, queste ultime sono offerte dal venditore in forma di hash che, lo ricordiamo, è una stringa alfanumerica generata a partire dalla password tramite particolari algoritmi crittografici che consentono di “offuscare” la password vera e propria e portarla ad una lunghezza uniforme, indipendentemente dalla dimensione del valore di partenza.
Ciononostante, sebbene codificate mediante questo sistema di sicurezza, le password possono essere recuperate con specifiche tecniche di attacco e sfruttate per impersonificare specifiche utenze.
Un altro rischio è rappresentato dal fatto che le password possono essere utilizzate da attori malevoli per eseguire codice o accessi abusivi a sistemi informativi.
Il principale rischio secondo Mella è che “le credenziali possano essere usate per attacchi ai dipendenti aziendali, ammesso che ce ne siano di ancora valide; nessun rischio invece al momento per i clienti”.
Da IBM al momento nessuna conferma
Da parte sua, la multinazionale americana fa sapere di “essere a conoscenza di un comunicato riguardante le presunte credenziali dei dipendenti IBM. Stiamo attualmente indagando. Ricordiamo che l’autenticazione a più fattori è una delle misure di sicurezza richieste dalle procedure operative IBM per l’accesso ai sistemi. Non risulta che sia stato effettuato un accesso inappropriato ai sistemi IBM o dei clienti”.
Come mitigare i possibili rischi
Ancora Marco Ramilli di Yoroi sottolinea come ormai non importa più la dimensione dell’organizzazione: “è evidente che siamo tutti soggetti ad attacchi. Però sono accadimenti come questi che continuano a mostrarci quanto la sicurezza informatica sia un ciclo atto al continuo miglioramento. Non possiamo mai ritenerci completamente sicuri. Ma bisogna insistere con un continuo lavoro. attento e meticoloso, possibile con occhi vigili e tecnologie abilitanti”.
In particolare, per mitigare i rischi conseguenti al furto di credenziali di accesso è opportuno seguire alcune semplici regole di sicurezza informatica:
- Prevenire. L’hardening dei sistemi, l’introduzione di sistemi di protezione all’avanguardia e l’installazione di moduli software contro attività di hash dumping aumentano la difficoltà di attacco per l’attaccante che cerca la compromissione di host e l’ottenimento di hash e aiutano a difendersi.
- Minimizzare i tipi di logon per account privilegiati e prediligere metodi non interattivi per la gestione amministrativa degli host, hanno invece lo scopo di ridurre la presenza di hash salvati sulle macchine che potrebbero essere compromesse da un attaccante. In parallelo è opportuno assegnare agli amministratori solo i diritti che necessitano per il loro operato.
- Intercettare attività relative all’uso di tecniche di attacco specifiche o a tutte le azioni preventive che un attaccante compie per effettuarlo, può facilitare la localizzazione dell’attaccante e il conseguente contenimento dell’attacco. Il monitoraggio in tempo reale è una di quelle attività che svolge un Blue Team altamente specializzato pronto a registrare particolari anomalie rispetto al regolare funzionamento dei sistemi.
Paganini: necessario continuare a monitorare
“Gli archivi contenenti decine di migliaia di credenziali di multinazionali come IBM e SAP non rappresentano una novità nello scenario delle minacce”, aggiunge l’esperto cyber Pierluigi Paganini. “Il perimetro di queste multinazionali è enorme, così come complesse sono le loro architetture, e ciò avvantaggia l’azione degli attaccanti che hanno una superficie maggiore di attacco da colpire. E’ tuttavia cruciale monitorare la disponibilità di queste informazioni nell’ecosistema criminale per consentire alle aziende interessate di condurre le eventuali verifiche ed innalzare il proprio livello di sicurezza”, aggiunge Paganini.
