Spesso gli hacker che penetrano nella rete di un’azienda si spacciano per utenti legittimi per un lungo periodo di tempo, causando così lunghi ritardi prima che le vittime si accorgano di essere state attaccate. Nel suo Threat Report del 2014 FireEye’s Mandiant ha scoperto che ci vogliono mediamente 205 giorni perché un’azienda si accorga di un attacco, cifra leggermente in calo rispetto ai 229 giorni riportati nel rapporto del 2013. La differenza rimane comunque quasi insignificante. “Non penso sia abbastanza per ritenere che le persone stiano migliorando sotto questo aspetto” dichiara Matt Hastings, consulente di Mandiant esperto di risposte di emergenza.

Uno dei problemi principali è che i criminali informatici hanno ormai smesso di utilizzare malware che possono essere facilmente individuati, preferendo rubare credenziali di autenticazione e utilizzarle per accedere in remoto ai sistemi da colpire. Ecco perché possono apparire come utenti legittimi e perché è diventato più difficile scoprirli. In due delle più grandi e clamorose violazioni di dati degli ultimi anni (Target e Home Depot) i cyber criminali hanno ottenuto le credenziali utilizzate da fornitori di terze parti per accedere al network di queste due grandi catene di negozi, ottenendo così una corsia di ingresso altrimenti difficile da raggiungere con attacchi di tipo più classico e prevedibile.

Per essere sicuri che i loro attacchi vadano a buon fine, i criminali informatici ricorrono ancora a malware e backdoor, ma lo fanno in modo più intelligente. Spesso le vittime riescono sì a scoprire eventuali strumenti utilizzati per un attacco e a eliminarli, ma anche in questo caso faticano a comprendere veramente cosa stia succedendo. Il risultato è che gli hacker, accortisi che alcuni dei loro attacchi sono stati individuati, possono cambiare strategia in modo rimanendo all’interno del network colpito.

Uno dei modi in cui un cyber criminale può apparire come utente autorizzato è attraverso un accesso VPN

Sempre secondo il rapporto di Mandiant il 69% delle violazioni sono state scoperte dalle aziende attaccate solo grazie a una fonte esterna come le forze dell’ordine. Questa volta il dato è in crescita rispetto al 2012 (63%) e al 2013 (67%). Uno dei modi in cui un cyber criminale può apparire come utente autorizzato è attraverso un accesso VPN, cosa che si è verificata nel 2014 come mai in passato.

Una volta entrato attraverso una VPN, un hacker può spesso ottenere l’accesso ad altri sistemi e, utilizzando uno strumento come Mimikatz, può individuare e raccogliere le password degli utenti collegati in quel momento. Windows Server 2012 R2 e Windows 8.1 possiedono un meccanismo difensivo chiamato “processo protetto” per difendersi proprio contro questo tipo di attacco. Peccato che gran parte delle aziende utilizzi il livello funzionale di dominio di Windows Server 2008 e gli endpoint di Windows 7. “Sfortunatamente”, conclude Hastings, “giunti a questo punto è difficile attenuare un simile tipo di rischio”.

Infine, per rendere ancora più efficaci i loro attacchi, gli hacker modificano e ricompilano il codice sorgente di Mimikatz. Mandiant riporta infatti di non aver trovato un solo esempio di un antivirus aziendale che sia stato in grado di individuare Mimkatz e di impedirne l’esecuzione.