Il dumping delle credenziali si verifica quando un attore di minacce ruba le credenziali dell’utente, come la password, per eseguire varie attività dannose, tra cui il ransomware. Spesso viene confuso con lo stuffing delle credenziali, un tipo di attacco informatico che “inserisce” le credenziali rubate in più siti web. In sostanza, lo stuffing è simile a un “lancio di spaghetti sul muro e vedere quale si attacca”, mentre il dumping delle credenziali sfrutta le vulnerabilità nella RAM per rubare e copiare le credenziali. Una volta che le credenziali dell’utente sono diventate accessibili, si dice che questi dati sono stati “dumped”.
In ogni caso, entrambe le minacce, per essere affrontate, richiedono una solida strategia di gestione delle credenziali nella tua organizzazione.
Come funziona il dumping delle credenziali?
In genere, i criminali informatici entrano nella RAM del dispositivo (e non nella ROM) e cercano tutte le credenziali che riescono a trovare, come nomi utente e password. Una volta che i malintenzionati ricevono le tue credenziali, cercheranno di accedere ai tuoi account o di infettare altri dispositivi connessi alla stessa rete (si tratta di una strategia comune di “preparazione” per un attacco ransomware-as-service in tutta l’azienda, per esempio).
Pertanto, il dumping delle credenziali è raramente una minaccia isolata e di solito precede un attacco informatico molto più completo e su più fronti. Per esempio, il “dump” potrebbe essere il primo tentativo di accesso al Security Account Manager (SAM) del dispositivo, che contiene un elenco di hash delle password utilizzate per accedere ai dispositivi. I criminali informatici possono, a quel punto, utilizzare le credenziali rubate con l’hash per ottenere l’accesso autorizzato ad altri computer sulla stessa rete (questo è noto come attacco Pass the Hash (PtH)).
Sperimenta un accesso di livello enterprise con il Credential Exchange di NinjaOne.
Guarda una demo gratuita oggi stesso.
Perché il dumping delle credenziali è così pericoloso?
Probabilmente, la maggior parte delle violazioni dei dati inizia con il dumping delle credenziali. Si tratta di una preoccupazione significativa, soprattutto perché gli esperti hanno rilevato un aumento del 78% delle compromissioni di dati segnalate pubblicamente nel 2023 rispetto al 2022 (2023 Data Breach Report, Identity Theft Resource Center). Si prevede che questo numero aumenterà nei prossimi anni, costando alle aziende milioni di dollari in termini di perdita di produttività. Diamo un’occhiata ad alcuni numeri:
- Il costo globale delle violazioni dei dati nel 2023 è stato di 4,45 milioni di dollari, con unaumento del 15% negli ultimi tre anni (Cost of Data Breach Report, IBM).
- Solo nel primo trimestre del 2023 sono stati resi pubblici 6,41 milioni di singoli dati in tutto il mondo (Statista).
- Il numero medio di giorni per identificare una violazione dei dati è 204 e il tempo medio necessario per contenere queste violazioni è di 73 giorni (Statista).
- C’è stato un aumento del 71% dei cyberattacchi causati da furto di credenziali e sfruttamento dell’identità (IBM).
A cosa può portare il dumping delle credenziali?
Il dumping delle credenziali può essere l’innesco per cyberattacchi molto più pericolosi, tra cui:
Pass the hash (PtH)
Gli hacker rubano le credenziali utente con hash (un tipo di crittografia) e le riutilizzano per creare una nuova sessione utente sulla stessa rete. Invece di crackare le credenziali, gli attacchi PtH utilizzano password memorizzate e crittografate per avviare una nuova sessione.
Pass the Ticket (PtT)
Gli attacchi PtT rubano il ticket di autenticazione all’interno del dominio Windows per impersonare l’utente e ottenere un accesso non autorizzato alla rete IT. Mentre PtH e PtT sono attacchi basati sull’autenticazione, PtT usa in modo malevolo i ticket Kerberos rubandoli ed è più specifico per gli ambienti di dominio Windows.
Ridurre il rischio di dumping delle credenziali
Esistono molti modi per ridurre il rischio di dumping delle credenziali. Alcuni modi per ridurre il rischio includono, a titolo esemplificativo, i seguenti:
- Controlla e aggiorna gli algoritmi obsoleti o deboli, utilizzati nella crittografia SSL/TLS.
- Mantieni password forti per ogni app o software (evita di usare la stessa password per tutto).
- Limita il numero di account con diritti di amministratore.
- Implementa l’autenticazione a più fattori o 2FA su tutti gli account.
- Conduci regolarmente corsi di formazione sulla cybersecurity per tutti i membri del team della tua organizzazione.
- Progetta strategie di protezione della password su PowerShell, come la richiesta di una password dopo la sospensione o la configurazione della scadenza della password.
- Imposta un firewall.
- Mantieni la tua rete IT integra con un solido sistema di patch management.
Difendersi dal dumping delle credenziali
Il dumping delle credenziali continuerà a essere una minaccia significativa, soprattutto perché un numero sempre maggiore di persone utilizza vari dispositivi per memorizzare le proprie informazioni personali o sensibili. Sebbene non sia possibile eliminare il rischio di furto delle credenziali, puoi ridurlo rendendo più difficile l’accesso agli hacker.