Esfiltrazione dei dati

1. Che cos’è l’esfiltrazione di dati

2. Tipologia di esfiltrazione di dati

3. Ransomware e esfiltrazione dati

4. Dark web e il mercato dei dati rubati

5. Attacchi informatici portano all’esfiltrazione dei dati

6. Come scoprire se sono vittima di esfiltrazione dati

7. Proteggersi dall’esfiltrazione di dati

Con il passare degli anni è progressivamente aumentato il numero di attacchi cyber crime ai danni di aziende, enti e professionisti.

La percentuale di violazioni di dati e attacchi ransomware andati a buon fine è sempre più elevata.

L’esfiltrazione dei dati risulta la tecnica privilegiata per chi ha intenzione di sfruttare le informazioni raccolte per fini illeciti. Se ti stai chiedendo quale sia il significato di data exfiltration sei atterrato sull’articolo che fa per te.

Infatti, l’esfiltrazione viene definita come la copia, il trasferimento o l’attività di recupero non autorizzato di dati da Rete o dispositivo.

In pratica, avrai a che fare con l’esfiltrazione ogni volta che un malware o un cybercriminale, effettuerà un trasferimento i dati da un dispositivo vittima senza disporre di alcuna autorizzazione. Ma non solo.

L’esfiltrazione di dati può verificarsi in seguito ad un attacco condotto servendosi di una chiavetta USB, o di una stampante, poco importa.
A condurre gli attacchi di data exfiltration sono per la maggioranza hacker che riescono ad avere accesso alla rete in qualche modo.
Ciò non toglie, che il processo di esfiltrazione può essere condotto anche da un dipendente (quindi una persona che effettivamente gode di parziali autorizzazioni) che accede ai sistemi aziendali per portar fuori informazioni.

Tuttavia, l’attività di esfiltrazione dati è remunerativa nel caso in cui, l’attaccante riesce a rivendere le informazioni sottrarre a qualcun altro.

Certo è che le aziende vittime dell’attacco si trovano a dover affrontare un problema di dimensioni enormi.

Tra le tecniche utilizzate per perpetrare l’attività di esfiltrazione dati esistono

• Fuga di dati (non intenzionale e non necessariamente con intenti malevoli);
• Cancellazione dei dati;
• Violazione account;
• Alterazione di privilegi (e conseguente acquisizione di privilegi admin);
• Cracking delle credenziali;
• Whaling;
• Phishing;
• Spoofing.

Un aspetto preoccupante del data exfil è legato al fatto di essere un fenomeno difficilmente rilevabile.

Questo in quanto l’operazione, agendo in background, è condotta in modo “silenzioso”. La vittima, in molte occasioni, non è in grado di rendersene conto.
Ecco perché le organizzazioni sono altamente vulnerabili alla perdita di dati.

Tipicamente, il malintenzionato agisce inserendo un malware nel dispositivo arrivato attraverso una email di phishing.
Una volta che il malware sarà penetrato nel sistema potrà condurre la scansione degli altri dispositivi collegati alla medesima rete, ricercando informazioni e tentando di esfiltrarle, ovvero portarle all’esterno del perimetro di rete.

Le aziende sono solite muovere i dati sia all’interno che all’esterno; pertanto, l’esfiltrazione appare molto simile al comune traffico di rete.
Il personale IT potrebbe così rendersi conto troppo tardi che la perdita di dati è riconducibile all’opera di un malintenzionato.

L’osservatorio cybersecurity di Crif ha condotto recentemente un’indagine sui dati distribuiti all’interno del Dark Web, ossia la parte di Internet che concentra le attività illecite dei criminali.

Proprio nel Dark Web, non a caso, vengono caricati circa il 65% dei dati rubati a livello globale.
Meno del 30% è disponibile sul Web navigabile.

Il dato più inquietante ad emergere da tale indagine è la crescita pari al 18% dei dati sottratti nel corso del primo semestre del 2021.

Altro spunto di riflessione?

I criminali impiegano blog, forum e programmi di messaggistica per operare la distribuzione di quanto ricavato, prediligendo in modo particolare Telegram.
In quest’ultimo caso, procedono all’apertura e alla chiusura di stanze appositamente dedicate allo scambio di database contenenti credenziali e password rubate.

Nell’ambito della questione esfiltrazione dobbiamo constatare che il fenomeno del furto delle credenziali dei social media rappresenta una categoria in forte crescita. Tale tipologia di attacco ha ormai raggiunto il 13,7% del totale. Adottandola ai diversi target di vittime, i criminali hanno la possibilità di cambiare le password di accesso degli utenti, “chiudendoli fuori” dal profilo, e chiedendo loro il pagamento di un riscatto.

Sempre attraverso i canali social alcuni hacker sfruttano le informazioni ottenute al fine di perpetrare frodi. Il tutto avviene semplicemente contattando gli amici dell’utente fingendosi e sostituendosi alla sua persona.

Vogliamo innanzitutto parlare delle email in uscita, uno strumento utilizzabile per esportare calendari, messaggi, immagini e documenti vari.
Dopo essere entrati in possesso dei dati, gli hacker godono di piena libertà nel trasmetterli a terze parti.

Infatti, è sufficiente essere in possesso di uno smartphone, un laptop, una fotocamera o una qualsivoglia unità esterna per esfiltrare dei dati.
Tenete conto che per avviare il processo di data exfiltration è necessario che l’hacker ottenga l’accesso diretto ai dati.

L’attaccante può ottenerlo:

• tramite l’invio di un link infetto (tecniche di ingegneria sociale)
• tramite malware
• attraverso violazione di una connessione da remoto
• tramite vulnerabilità di un dispositivo (magari se si tratta di un server o un NAS)
• compromettendo l’account utente (magari tramite attacco brute force)
• tramite attacchi informatici avanzati (APT)

Sia data exfiltration prevention che rilevamento del furto di dati obbligano le aziende a impegnarsi al fine di diffondere una vera e propria cultura di sicurezza adattiva.

Altrettanto utile è la ricerca di soluzioni incentrate sull’impiego di indicatori volti a valutare la plausibilità di determinati scenari. Come anticipato in uno dei precedenti paragrafi, tra gli strumenti cui ricorrono spesso e volentieri gli hacker appaiono dalle email di phishing. Queste email vengono strutturate per apparire in tutto e per tutto legittime tanto che, in molti casi, sembrano provenire effettivamente da mittenti affidabili.

Ma, come già detto, in realtà contengono un allegato chiamato a rilasciare un malware all’interno del dispositivo. Altre, invece, presentano un link verso un sito web (anch’esso con caratteristiche molto simili a siti ufficiali) creato appositamente per rubare le credenziali d’accesso inserite dall’utente. Non sono rari neppure gli attacchi mirati, che hanno lo scopo di sottrarre dati a figure importanti, come i dirigenti aziendali.

Per riconoscere le e-mail, le organizzazioni sono chiamate ad adottare percorsi di formazione ben strutturati. Meglio ancora sarebbe basare i corsi sui dati raccolti all’interno dell’azienda attraverso un test controllato. Seguito il corso, i dipendenti hanno a disposizione le conoscenze necessarie per individuare immediatamente, e eliminare istantaneamente le email sospette.

Nel trattare l’argomento degli attacchi informatici, e ancor di più concentrando l’attenzione sui data exfiltration method, non sono poche le aziende che, vinte alcune “battaglie” contro gli hacker, ritengono di aver superato il problema.

Esistono delle metodologie che consentono di identificare e bloccare i processi di esfiltrazione dati.
Eccone alcune:

• Monitorare gli strumenti/dispositivi aziendali legittimi
• Analizzare il traffico crittografato
• Tenere traccia delle autorizzazioni di accesso ai dati

Noi di Onorato informatica offriamo servizi di cybersecurity ideati e strutturati per rispondere alle esigenze di protezione delle aziende.
Ci occupiamo da anni con successo di sicurezza dei sistemi, dati e reti.

Contattaci per avere una chiara disamina dei nostri servizi, e delle soluzioni concepite per permetterti di lavorare in completa tranquillità.