Shai-Hulud Part 2: When the Worm Forged Its Own Security Certificate
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per il Network Detection and Response (NDR) del 2025
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Sintesi dell'analisi dell'attacco

Analisi dettagliata di un attacco di tipo "MFA bypass"

In questa simulazione di un attacco di Lapsus$, gli autori dell'attacco sono riusciti ad accedere cloud di un'azienda nonostante fossero in atto l'autenticazione a più fattori (MFA) e altri strumenti di prevenzione. Scopri come si è svolto l'attacco e cosa possono fare i responsabili della sicurezza per contrastarlo.

Analisi dettagliata di un attacco di tipo "MFA bypass"
Seleziona la lingua per scaricare
Scarica
Accesso
Sintesi dell'analisi dell'attacco
Grazie per il download!
Accedi qui sotto alla tua offerta gratuita.
Scarica
Scarica
Scarica in francese
Scarica in tedesco
Scarica in spagnolo
Scarica in giapponese
Scarica in italiano

Che cos'è un attacco di bypass MFA?

Un attacco di bypass dell'autenticazione a più fattori (MFA) si verifica quando un malintenzionato riesce a eludere i controlli MFA di un'organizzazione per ottenere un accesso non autorizzato. Sebbene i metodi di autenticazione rappresentino una parte importante della prevenzione, non sempre impediscono ai malintenzionati di accedere agli account. I malintenzionati possono aggirare i requisiti MFA per ottenere l'accesso alla VPN, effettuare ricognizioni di rete, sottrarre nomi utente e password e, infine, sottrarre dati sensibili. 

Tecniche comuni di aggiramento dell'autenticazione MFA

Tra le tecniche più comuni di bypass dell'autenticazione a più fattori (MFA) figurano:

  • Phishing : gli hacker ricorrono spesso a sofisticate phishing per indurre gli utenti a fornire le proprie credenziali MFA.
  • Attacchi di "MFA Fatigue": l'autore dell'attacco inonda la vittima di ripetute richieste di autenticazione a più fattori, sommergendo l'utente di richieste di conferma finché questi non ne approva una, per abitudine o per stanchezza.
  • SIM swapping: gli hacker si appropriano del numero di telefono della vittima convincendo l'operatore a trasferirlo su una scheda SIM presente su un altro dispositivo. Questa tecnica sta diventando sempre più diffusa a causa dell'ampio ricorso all'autenticazione tramite SMS
  • Dirottamento della sessione: l'autore dell'attacco prende il controllo di una sessione attiva di un'applicazione aziendale per aggirare completamente i metodi di autenticazione a più fattori (MFA). Una volta ottenuto il controllo della sessione, può aggiungere nuovi dispositivi MFA, reimpostare le password e utilizzare l'account dirottato per muoversi all'interno della rete aziendale. 
  • Sfruttamento delle falle dell'autenticazione a più fattori (MFA): gli hacker individuano un errore di configurazione o altre vulnerabilità, solitamente nei sistemi integrati OAuth e Single Sign-On (SSO), che consentono loro di aggirare il secondo fattore di autenticazione. 

Individuare gli aggressori che aggirano l'autenticazione a più fattori (MFA)

Le soluzioni MFA avanzate, come le chiavi di sicurezza e la verifica biometrica, sono una componente fondamentale della sicurezza aziendale. Ma non basta. È altrettanto importante monitorare il proprio ambiente alla ricerca di attività sospette, in modo da poter individuare un attacco di bypass dell'autenticazione MFA non appena si verifica. 

Vectra AI oltre 150 modelli di rilevamento basati sull'intelligenza artificiale per individuare i casi in cui un aggressore riesce a eludere l'autenticazione a più fattori (MFA) e altri controlli preventivi. Con MITRE ATT&CK superiore al 90% MITRE D3FEND MITRE ATT&CK e 11 riferimenti nel MITRE D3FEND — più di qualsiasi altro fornitore — Vectra AI rileva le tecniche più comuni utilizzate dai criminali informatici per aggirare l'autenticazione a più fattori (MFA), tra cui:

  • MFA: accesso sospetto non riuscito
  • MFA disabilitato
  • Accesso potenzialmente compromesso
  • Anomalia nell'utilizzo dei privilegi
  • Regola di trasporto Exchange sospetta in M365

Ad esempio, in un attacco simulato iniziato con l'acquisto di un accesso VPN, l'autore dell'attacco:

  • Ho effettuato un'attività di ricognizione della rete per spostarmi lateralmente tramite RDP
  • Ha utilizzato credenziali rubate per infiltrarsi in SharePoint e nel codice sorgente
  • Ho creato un nuovo account amministratore per garantire un accesso ridondante e ho tentato di creare una regola di trasporto per un'eventuale esfiltrazione futura

Ma con Vectra AI, gli amministratori sanno quali entità sono state colpite, quali superfici sono state occupate e quali misure di risposta adottare, e possono bloccare rapidamente gli account in questione.

Scopri come Vectra AI un attacco in corso volto a eludere l'autenticazione a più fattori (MFA)

Cosa succede quando un noto gruppo di criminali informatici aggira l'autenticazione a più fattori (MFA), ruba le credenziali e inizia a muoversi lateralmente? Scopri di seguito come il gruppo di ransomware Lapsus$ sfrutta l'aggiramento dell'MFA per penetrare nelle reti aziendali e scopri perché i sistemi di rilevamento basati sull'intelligenza artificiale sono fondamentali per individuare attacchi simili.

Analisi di un attacco ransomware Lapsus$ che inizia con l'aggiramento dell'autenticazione a più fattori (MFA).
Scarica

Scelto da esperti e aziende di tutto il mondo

Domande frequenti