Attori russi aggirano la 2FA, cosa è successo e come evitarlo
Attori russi aggirano la 2FA, cosa è successo e come evitarlo
L’attacco risale al maggio 2021 e la vittima era un’organizzazione non governativa. Ecco come gli agressori, in poche parole, sono riusciti ad eludere il sistema:
- Hanno avuto fortuna che la password è stata scelta male
- Trovato un account che era stato lasciato in attivo per anni
- Registrato nuovamente l’account nel sistema 2FA, come se l’utente originale lo stesse riattivando
- Effettuato l’accesso come questo utente
- Sfruttata la vulnerabilità di PrintNightmare per ottenere l’accesso come amministratore di dominio
- Rotto il sistema 2FA alterando la sua configurazione in modo da non richiedere più risposte 2FA a nessuno
Una volta dentro hanno potuto aggiungere nuovi account, girovagare per la rete, sfogliare i dati organizzativi nel cloud e curiosare negli account di posta elettronica.
Come prevenire questo tipo di infiltrazioni?
- Scegliere le password corrette (visita i nostri social sui consigli per le password sicure)
- Disabilita o rimuovi completamente gli account inutilizzati
- Non impostare la 2FA su “fail open”
- Reagisci rapidamente se le funzionalità chiave di sicurezza del sistema smettono di funzionare
- Assegnare al personale un unico punto per segnalare i problemi
- Monitora regolarmente i registri di sistema e i comportamenti rischiosi come la creazione di nuovi account
- Aggiorna sempre tutto, così da non essere esposti da bug indesiderati
Se non hai l’esperienza o il tempo per mantenere da solo una risposta alle minacce continua, prendi in considerazione la possibilità di collaborare con un servizio come Sophos Managed Threat Response .
Ti aiutiamo a prenderti cura delle attività con cui stai lottando per stare al passo a causa di tutte le altre richieste quotidiane che l’IT ti scarica nel piatto.
Anche le backdoor sono pericolose per la nostra sicurezza informatica, per saperne di più clicca qui.