Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email Collaboration Threat Protection

    Che cos'è un attacco Watering Hole e come prevenirlo?

    Proprio come un leone che attacca un'antilope nel suo luogo di abbeveraggio preferito, i criminali informatici si appostano sui suoi siti web e strumenti preferiti.

    by Giulian Garruba

    Key Points

    • Dopo aver utilizzato spesso un sito web, le vittime di attacchi watering hole raramente pensano due volte alla sua sicurezza, lasciandole vulnerabili ad attacchi a sorpresa da diverse fonti.
    • Di solito, gli attacchi di tipo watering hole si articolano in quattro fasi che mirano a monitorare, analizzare ed eseguire uno dei tanti tipi di exploit portati dal web.
    • Identificare gli attacchi watering hole può essere semplice con la formazione, l'intelligenza e gli strumenti adeguati.

    I cyberattacchi sono aumentati in modo esponenziale in termini di sofisticazione nell'ultimo decennio, lasciando molte organizzazioni in difficoltà nel mantenere la sicurezza della rete e dei dati, mentre emergono nuove minacce precedentemente sconosciute. Termini come malware, phishing e persino attacchi denial-of-service sono familiari alla maggior parte delle persone. Tuttavia, altri termini, come gli attacchi watering hole, potrebbero essere del tutto nuovi.

    Qui indaghiamo su cosa sono gli attacchi watering hole, su come funzionano e su come lei e la sua organizzazione potete sensibilizzarvi sulle minacce e proteggervi da esse.

    Come funzionano gli attacchi Watering Hole?

    Gli attacchi watering hole, talvolta noti come watering hole phishing, traggono ispirazione dal nome in natura, come quando un predatore colpisce la sua preda mentre si ferma ad abbeverarsi. Pensi a un leone che si nasconde in una pozza d'acqua popolare nella savana e che si avventa su un'antilope ignara che si china per bere. L'antilope è un bersaglio facile, ma la pozza d'acqua è anche un luogo dove si riuniscono regolarmente tutti i tipi di animali. 

    Il motivo di questa analogia diventa chiaro quando definiamo un attacco watering hole nel contesto della cybersecurity. Gli attori delle minacce mirano a colpire i loro obiettivi dove si riuniscono, di solito sui siti web frequentemente utilizzati dall'obiettivo. Avendo utilizzato spesso quel sito web, l'obiettivo raramente pensa due volte alla sua sicurezza, lasciandolo vulnerabile ad attacchi a sorpresa da diverse fonti.

    Il concetto alla base degli attacchi watering hole è chiaro, ma anche i metodi utilizzati dai cyberattaccanti per implementarli e trarne profitto sono essenziali da comprendere. Di solito, gli attacchi di tipo watering hole si articolano in quattro fasi che mirano a monitorare, analizzare ed eseguire uno dei tanti tipi di exploit portati dal web. In genere, queste fasi comprendono:

    Raccogliere informazioni attraverso il tracciamento 

    Gli aggressori di Watering Hole iniziano identificando un obiettivo e raccogliendo informazioni sulle sue abitudini di navigazione sul web. Potrebbe trattarsi di siti pubblici frequentemente visitati, di siti web specifici dell'azienda o del settore, o anche di strumenti come la webmail e il cloud storage. Gli attori delle minacce utilizzano una serie di strumenti per raccogliere queste informazioni, tra cui i motori di ricerca, le pagine dei social media, i dati demografici dei siti web, l'ingegneria sociale, lo spyware e i keylogger.

    Analizzare i siti web per le vulnerabilità 

    Una volta identificati gli obiettivi validi, i cyberattaccanti iniziano ad analizzare l'elenco dei siti web per individuare le debolezze e le vulnerabilità a livello di dominio e sottodominio. Inoltre, possono essere creati dei cloni di siti web per ingannare il bersaglio e fargli credere di utilizzare il sito ufficiale. A volte, entrambi vengono utilizzati in tandem, compromettendo un sito legittimo per condurre gli obiettivi a una pagina dannosa.

    Preparare gli exploit e infettare i siti web target 

    Gli exploit web-borne vengono utilizzati per infettare i siti web comunemente utilizzati dall'obiettivo. Concentrandosi su tecnologie come ActiveX, HTML, JavaScript, immagini e altri vettori, i cyberattaccanti mirano a compromettere i browser utilizzati dall'obiettivo. Gli attacchi più sofisticati possono persino consentire agli attori di infettare i visitatori con indirizzi IP specifici.

    Aspettare che il bersaglio scarichi inaspettatamente un malware

    L'infrastruttura di phishing è già pronta e gli attori malintenzionati devono solo aspettare che il malware si attivi. Questo accade quando il browser dell'obiettivo scarica ignaro ed esegue automaticamente il software preinstallato dai siti compromessi. Questo funziona perché i browser web spesso scaricano indiscriminatamente il codice sui computer e sui dispositivi. 

    Come funzionano gli attacchi delle pozze d'acqua.png
    Infografica che spiega come funzionano gli attacchi Watering Hole

    In che modo gli individui possono proteggersi dagli attacchi Watering Hole

    La prevenzione degli attacchi Watering Hole per gli individui consiste nel mantenere buone pratiche di cybersecurity ogni volta che si è online. Ciò significa fare attenzione a dove e cosa si clicca durante la navigazione sul web e assicurarsi che un software antivirus di alta qualità sia installato e regolarmente aggiornato. Anche le applicazioni di protezione del browser e le VPN possono essere utili, avvisando gli utenti di siti o download potenzialmente dannosi e bloccandoli completamente, se necessario. 

    Come le aziende possono proteggersi dagli attacchi Watering Hole

    Le aziende possono adottare un approccio più robusto alla prevenzione degli attacchi watering hole attraverso vari strumenti e protocolli di cybersecurity avanzati. Questi includono:

    • Aumentare la consapevolezza degli attacchi watering hole ed educare il personale attraverso programmi di sensibilizzazione e formazione alla sicurezza incentrati sul rischio umano, per consentire loro di rilevare più rapidamente le attività sospette.
    • Assicurarsi che tutti i software, compresi quelli non di sicurezza, siano aggiornati. Gli attacchi watering hole ricercano attivamente le vulnerabilità, quindi le scansioni regolari delle vulnerabilità e le patch di sicurezza sono una linea di difesa fondamentale.
    • Utilizzando gateway web sicuri per filtrare le minacce basate sul web e applicare le politiche di utilizzo accettabile. Un gateway web sicuro funge da intermediario tra l'utente e il sito web esterno, bloccando il traffico di rete dannoso e consentendo al personale di navigare in modo sicuro.
    • Garantire che tutto il traffico che passa attraverso la rete dell'organizzazione sia trattato come non attendibile finché non viene convalidato.
    • Utilizzare gli strumenti di rilevamento e risposta degli endpoint per proteggere la sua organizzazione dalle minacce malware emergenti. 
    Come prevenire gli attacchi di buchi d'acqua.png
    Infografica su come prevenire gli attacchi di irrigazione

    Esempi di attacchi Watering Hole

    In passato, gli attacchi watering hole hanno preso di mira organizzazioni di alto profilo che hanno presumibilmente implementato una protezione di cybersecurity di alto livello. Ciò significa che qualsiasi tipo di organizzazione può essere vulnerabile a queste minacce persistenti avanzate (APT). Ecco alcuni esempi concreti di attacchi watering hole di alto profilo:

    2012 - Consiglio americano per le relazioni estere

    Attraverso un exploit di Internet Explorer, i cyberattaccanti hanno infettato il CFR. Il phishing Watering Hole prende di mira i browser che utilizzano solo determinate lingue che possono essere sfruttate. 

    2016 - Autorità finanziaria polacca

    Prendendo di mira oltre 31 Paesi, tra cui Polonia, Stati Uniti e Messico, i ricercatori hanno scoperto un kit di exploit che era stato incorporato nel server web dell'Autorità finanziaria polacca. 

    2019 - Acqua Santa

    Incorporando un pop-up Adobe Flash dannoso che innescava un attacco di download, decine di siti web religiosi, di beneficenza e di volontariato sono stati infettati. 

    2020 - SolarWinds

    L'azienda IT SolarWinds è stata il bersaglio di un attacco watering hole di vasta portata che si è protratto per molto tempo. Dopo mesi di lavoro di cyber-intelligence, è stato scoperto che gli agenti sponsorizzati dallo Stato stavano utilizzando il watering hole phishing per spiare le aziende di cybersecurity, il Dipartimento del Tesoro, la Sicurezza Nazionale e altro ancora.

    2021 - Hong Kong

    Il Threat Analysis Group di Google ha identificato numerosi attacchi watering hole che si sono concentrati sugli utenti che hanno visitato siti web di media e pro-democrazia a Hong Kong. Una volta riuscito, il malware avrebbe continuato a installare una backdoor sulle persone che utilizzano dispositivi Apple.

    Come capire se è stato vittima di un attacco da parte di un locale di ristoro

    Dal momento che gli attacchi watering hole, per loro stessa natura, dovrebbero ingannarci facendoci credere che stiamo visitando un sito web affidabile o una fonte legittima, possono essere difficili da identificare immediatamente. Se non vi siete resi conto dell'attacco alla fonte in tempo reale, il prossimo indicatore probabile sarà che le vostre reti comincino a comportarsi in modo diverso e che i dati spariscano o non siano più accessibili. Per questi motivi, è fondamentale garantire una maggiore vigilanza sugli exploit zero-day, in quanto sono i vettori più comuni per il watering hole phishing.

    Gartner® Magic Quadrant™: Mimecast nominato Leader

    Mimecast è stata riconosciuta ancora una volta per la sua completezza di visione e capacità di esecuzione nel Quadrante Magico Gartner® del 2025™ per la sicurezza delle e-mail.
    Ottieni il report

    La linea di fondo

    Forse l'aspetto più preoccupante degli attacchi watering hole è che prendono costantemente di mira luoghi in cui le persone e le organizzazioni hanno imparato a fidarsi. Tuttavia, identificare questo specifico cyberattacco può essere semplice con la formazione, l'intelligence e gli strumenti adeguati. Si ricordi che le best practice di cybersecurity esistono per un motivo e devono essere utilizzate senza alcun dubbio.

    Domande frequenti sull'attacco al buco dell'acqua

    Le piccole imprese possono essere bersaglio di attacchi watering hole?

    Sì, le piccole imprese sono spesso bersaglio di attacchi "watering hole", perché in genere dispongono di misure di cybersecurity meno solide rispetto alle organizzazioni più grandi. Gli aggressori sanno che le piccole imprese possono non avere team dedicati alla sicurezza informatica o le risorse per monitorare e applicare continuamente le patch alle vulnerabilità, rendendole più facili da sfruttare. Inoltre, le piccole imprese spesso collaborano con aziende più grandi come fornitori o partner, fornendo ai criminali informatici una potenziale backdoor in queste organizzazioni più grandi. Pertanto, le piccole imprese devono essere vigili e implementare solidi protocolli di cybersecurity per proteggersi dagli attacchi watering hole.

    Quali sono le caratteristiche di un attacco watering hole?

    Gli attacchi Watering Hole spesso coinvolgono vari tipi di malware, ognuno dei quali ha uno scopo diverso nella catena di attacco:

    1. Cavallo di Troia: si tratta di un tipo di malware camuffato da software legittimo. Una volta installato, consente agli aggressori di ottenere un accesso non autorizzato al sistema della vittima.
    2. Keylogger: Questi strumenti registrano le battute effettuate dall'utente, consentendo agli aggressori di acquisire informazioni sensibili come le credenziali di accesso e i dati personali.
    3. Ransomware: Alcuni attacchi di tipo watering hole forniscono un ransomware, che cripta i dati della vittima e richiede un pagamento per la sua decriptazione.
    4. Spyware: Questo tipo di malware monitora segretamente le attività della vittima, raccogliendo informazioni come le abitudini di navigazione, le password e altri dettagli personali.
    5. Rootkit: I rootkit vengono utilizzati per ottenere l'accesso di livello root al sistema della vittima, consentendo agli aggressori di controllare il sistema da remoto e di eludere il rilevamento da parte del software di sicurezza.
    6. Backdoor: Queste permettono agli aggressori di bypassare i normali processi di autenticazione, consentendo loro un accesso persistente al sistema anche dopo la fine dell'attacco iniziale.

    Qual è la differenza tra gli attacchi watering hole e lo spear phishing?

    Sebbene sia gli attacchi targeted attack che lo spear phishing siano targeted attack, differiscono in modo significativo nell'approccio e nell'esecuzione:

    1. Metodo di attacco:
      • Attacco Watering Hole: Si tratta di compromettere un sito web legittimo che l'obiettivo visita spesso. La vittima non sa che il suo sito di fiducia è stato infettato dal malware.
      • Spear Phishing: consiste nell'inviare un'e-mail mirata, spesso personalizzata, alla vittima, inducendola a cliccare su un link dannoso o a scaricare un allegato infetto.
    2. Punto di ingresso:
      • Attacco Watering Hole: Si tratta di compromettere un sito web legittimo che l'obiettivo visita spesso. La vittima non sa che il suo sito di fiducia è stato infettato dal malware.
      • Spear Phishing: consiste nell'inviare un'e-mail mirata, spesso personalizzata, alla vittima, inducendola a cliccare su un link dannoso o a scaricare un allegato infetto.
    3. Livello di interazione con l'utente:
      • Attacco Watering Hole: La vittima potrebbe non dover compiere alcuna azione specifica, se non quella di visitare il sito compromesso. Il malware può essere scaricato ed eseguito automaticamente.
      • Spear Phishing: la vittima deve interagire attivamente con l'e-mail di phishing, ad esempio cliccando su un link o scaricando un allegato, per avviare l'attacco.
    4. Complessità:
      • Attacco Watering Hole: Questo è spesso più complesso e richiede che l'aggressore identifichi e comprometta un sito web di terze parti.
      • Spear Phishing: questo può essere più semplice e richiede solo un'e-mail convincente e un carico utile dannoso.

     

     

    **Questo blog è stato pubblicato originariamente il 12 marzo 2022.

    Soluzioni di protezione dalle minacce
    09BLOG_1.jpg
    Up Next
    Email Collaboration Threat Protection |
    Che cos'è il Cloud SIEM?

    Related Articles

    Email Collaboration Threat Protection
    Che cos'è la posta grigia e perché il rilevamento dell'AI è importante
    Email Collaboration Threat Protection
    L'evoluzione delle minacce e-mail: Perché la difesa coordinata è importante
    Email Collaboration Threat Protection
    Sbloccare una protezione senza pari: I vantaggi dell'integrazione di Mimecast con CrowdStrike

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top