Anatomia dell'attacco
Anatomia di un attacco con la lancia Phishing
In questo attacco simulato di Lazarus Group, i difensori sono stati messi alle strette dopo che gli aggressori hanno usato lo spear phishing per compromettere un laptop aziendale e impostare un accesso persistente. Grazie all'Intelligenza Attack Signal Intelligence guidata dall'intelligenza artificiale per correlare automaticamente i rilevamenti in ogni superficie di attacco, i difensori sapevano esattamente dove concentrare gli sforzi.
Che cos'è lo spear phishing?
Lo spear phishing è un tipo di attaccophishing altamente mirato e molto efficace. A differenza delle campagne phishing generiche inviate a un gran numero di persone, lo spear phishing si rivolge a individui o organizzazioni specifiche. Implica una ricerca approfondita per creare e-mail, telefonate o messaggi sui social media altamente personalizzati, che spesso sembrano provenire da una fonte fidata come un collega, un supervisore o un partner commerciale conosciuto. L'aggressore effettua un'attenta ricerca del proprio obiettivo per far sembrare il messaggio legittimo e spingere la vittima ad agire. Anche i dipendenti più esperti cadono nelle e-mail di spear phishing , rendendo questi attacchi mirati una priorità assoluta per i difensori.
Perché gli aggressori usano lo spear phishing
Lo spear phishing è spesso utilizzato da gruppi di ransomware e APT come Akira, Black Bastae APT29. Gli aggressori lo utilizzano per:
- Aumentare le probabilità di successo
- Ottenere l'accesso al centro dati
- Rubare informazioni sensibili
- Infettare i dispositivi con malware
Il processo di un attacco phishing spear phishing
Gli attacchi di spear phishing seguono un processo altamente strutturato:
- Ricerca: Gli Spear phisher raccolgono informazioni dettagliate sull'obiettivo, spesso attraverso i social media, i database pubblici o precedenti violazioni.
- Creare l'esca: L'aggressore crea un messaggio convincente che sembra provenire da una fonte attendibile, completo di informazioni personali, eventi recenti, conoscenti comuni e altri dettagli personalizzati.
- Consegna: Il messaggio viene consegnato insieme a un link o a un allegato dannoso, come un malware o un sito Web falso progettato per rubare le credenziali di accesso.
- Sfruttamento: Una volta che il dipendente abbocca all'esca, l'aggressore ottiene l'accesso per muoversi lateralmente all'interno della rete dell'organizzazione e intensificare l'attacco.
Come contrastare gli attacchi phishing spear phishing
Gli strumenti di prevenzione spesso non riescono a bloccare questo tipo di attacchi, rendendoli una minaccia anche con gateway web sicuri, firewall e IPS. Per questo motivo, è fondamentale disporre di rilevamenti adeguati in modo da poter vedere e rispondere immediatamente agli attacchi. Vectra AI rileva le tattiche di spear phishing più comuni, tra cui:
- Tunnel TTPS nascosto
- Enumerazione della condivisione dei file
- Controllo delle porte sospette e in uscita
- Anomalia nel funzionamento dei privilegi di Entra ID
- M365 Spear Phishing interno
Ad esempio, in un attacco simulato, iniziato con un attacco mirato a un dipendente su LinkedIn, l'aggressore:
- WhatsApp criptato per bypassare il web
- Compromesso il laptop aziendale del dipendente
- Spostati nel centro dati tramite comando remoto
In questo caso, l'Vectra AI ha rivelato rapidamente dove sono stati installati i tunnel nascosti e quali identità sono state colpite, consentendo ai difensori di rispondere istantaneamente.
Scoprite come Vectra AI ha smascherato un attacco phishing spear phishing attivo
Abbiamo simulato un attacco di Lazarus Group per scoprire cosa succede esattamente quando un gruppo di criminali informatici sponsorizzato dallo Stato prende di mira un dipendente su LinkedIn, supera l'accesso alla rete zero trust ) e sottrae le credenziali di amministrazione. V come difendere l'attacco dall'avanzamento.
Fiducia da parte di esperti e aziende di tutto il mondo
