L’incidente di E-Root: l’importanza di proteggere gli account RDP e SSH

Pubblicato il Novembre 22, 2023

Uno dei cambiamenti più evidenti nella criminalità informatica dall’inizio del XXI secolo è stata la maturazione dell’industria illegale da singoli hacker a vere e proprie aziende redditizie. E-Root, un marketplace illegale di portata globale, è stato chiuso dalle forze dell’ordine nel 2020, ma di recente ha fatto notizia perché il suo amministratore rischia 20 anni di carcere per aver venduto account rubati di Remote Desktop Protocol (RDP) e Secure Shell (SSH).

E-Root era specializzato nel facilitare la vendita di vari beni digitali, tra cui credenziali rubate e accesso a server compromessi. Gli acquirenti hanno ricevuto strumenti di ricerca filtrati per navigare sul marketplace, con criteri come l’ISP, il sistema operativo, l’accesso RDP o SSH e altro ancora. L’organizzazione criminale ha operato attraverso una rete ampiamente distribuita per migliorare la resilienza e l’evasione, incorporando protezioni per mascherare le reali identità di fornitori, acquirenti e amministratori.

Questo incidente serve a ricordare l’importanza di proteggere l’accesso privilegiato per prevenire le violazioni dei dati, dato che le minacce informatiche continuano ad evolversi e ad aumentare.

Remote Desktop Protocol

RDP è un protocollo di comunicazione di rete che permette agli utenti di connettersi da remoto ai computer on-premises di un’organizzazione attraverso il sistema operativo Windows. È anche comunemente utilizzato dai team IT per eseguire la manutenzione dei server e altre attività da remoto.

RDP funziona come un segreto dell’infrastruttura usato dagli esseri umani, di solito gli amministratori IT e il personale DevOps, anche se a volte i normali utenti finali usano RDP per accedere ai file da remoto.

Sebbene RDP sia uno strumento prezioso per l’amministrazione remota, diventa un rischio significativo per la sicurezza se sfruttato dai criminali informatici. Per anni, le password RDP compromesse sono state il vettore più comune perle infezioni da ransomware.

Gli attacchi ransomware non sono l’unica cosa negativa che può accadere se la password RDP viene compromessa. Una volta che un malintenzionato viola RDP, può utilizzare strumenti software e scripting a riga di comando per trovare e rubare altre credenziali, farsi strada attraverso la rete dell’organizzazione e accedere ai suoi file. Può rubare quei file, cancellarli, modificarli o fare quello che vuole.

Secure Shell

SSH è un protocollo di rete crittografico utilizzato per la comunicazione sicura dei dati, il login remoto da riga di comando e altri servizi di rete sicuri tra due computer collegati in rete. Le chiavi SSH e altre credenziali di connessione sono risorse vitali per i team DevOps e DevSecOps, ampiamente utilizzate per l’accesso sicuro ai server.

Utilizzare le chiavi SSH e altre credenziali in modo sicuro rappresenta una sfida. Trasportare le chiavi attraverso una rete o tra utenti comporta dei rischi.

Di conseguenza, gli account SSH compromessi possono essere sfruttati per ottenere il controllo non autorizzato dei server e dei dati sensibili di un’organizzazione.

Se l’unico modo per rubare gli account RDP e SSH è attraverso connessioni remote non sicure, esiste un modo efficace per impedirlo?

Adottare misure per proteggere gli account RDP e SSH dal finire nel dark web

Le organizzazioni fanno largo affidamento a RDP e SSH per operare senza problemi, il che le rende bersagli privilegiati dei criminali informatici. Gli account rubati finiscono spesso sui mercati del dark web come E-Root.

Sebbene la chiusura di E-Root sia stata uno sviluppo positivo, molti altri marketplace illegali persistono, sottolineando la continua minaccia. Per proteggere le credenziali SSH e RDP dal furto e dall’uso improprio, le aziende devono adottare le seguenti misure proattive:

Proteggere gli account privilegiati: implementa misure solide per definire, gestire e proteggere gli account con accesso elevato ai sistemi IT. Questo comporta l’archiviazione di password e segreti in una cassaforte sicuro, insieme a controlli di accesso basati sui ruoli per limitare le credenziali sensibili solo alle persone che hanno assolutamente bisogno di accedervi.
Applicare il principio del minimo privilegio: limita i diritti di accesso per gli utenti, le applicazioni e i sistemi concedendo solo i livelli minimi di accesso necessari ai dipendenti per svolgere le attività richieste. Con i privilegi minimi, le organizzazioni possono ridurre il rischio di accessi non autorizzati e di potenziali abusi.
Ruotare le credenziali: fai ruotare a intervalli regolari le credenziali per ridurre le minacce alla sicurezza associate a licenziamenti dei dipendenti, violazioni, esposizione al dark web e altro ancora. Questa pratica aumenta la sicurezza riducendo al minimo la finestra di opportunità per gli attori malintenzionati di sfruttare le credenziali compromesse.
Gestire le sessioni privilegiate: assicurati che l’accesso alle infrastrutture critiche avvenga tramite la gestione delle sessioni di account privilegiati. Tutte le sessioni devono essere sicure e le credenziali devono rimanere nascoste agli utenti finali per evitare accessi non autorizzati.

Keeper® è l’opzione migliore per proteggere gli account RDP e SSH

La soluzione di gestione degli accessi privilegiati (PAM) di Keeper Security è una piattaforma di nuova generazione per prevenire l’accesso non autorizzato a sistemi e dati critici. KeeperPAM™ protegge tutti i tuoi account RDP e SSH, i certificati digitali e altri token di connessione sensibili. L’architettura zero-trust e zero-knowledge di Keeper fa sì che i tuoi segreti, le credenziali e le connessioni remote sono accessibili solo alle persone autorizzate.

Keeper Secrets Manager (KSM) consente ai team DevOps e DevSecOps di creare un accesso programmatico dinamico ai loro segreti e credenziali all’interno dei loro sistemi, senza la necessità di acquistare e installare nuovo hardware o software agente. KSM opera nel cloud con connessioni preconfigurate per i migliori strumenti del settore. Questo facilita la perfetta integrazione di KSM nell’attuale stack tecnologico di un’organizzazione, eliminando la necessità di appliance aggiuntive e implementando l’architettura zero-knowledge e zero-trust di Keeper per il massimo livello di sicurezza.

Keeper Connection Manager (KCM) offre al personale IT e DevOps un accesso semplice e sicuro a RDP, SSH, database e endpoint Kubernetes, senza bisogno di VPN. Con KCM non ci sono agenti: il tuo browser web è il client e non c’è alcun impatto sui controller di dominio o su altri servizi. Gli utenti possono accedere solo alle connessioni che l’amministratore ha esplicitamente concesso loro con controlli di accesso granulari.

Keeper Enterprise Password Manager (EPM) offre ai team IT visibilità e controllo totali sulle abitudini degli utenti in fatto di password. Ogni utente viene dotato di una cassaforte digitale sicura per archiviare e condividere credenziali, chiavi di accesso, file sensibili e altro ancora. Keeper si integra anche con fornitori di SSO e passwordless per un’esperienza di autenticazione end-to-end senza password.

Richiedi una demo di Keeper oggi stesso per proteggere la tua organizzazione.

Adrien Julienne

Di Adrien Julienne

Adrien is the B2B Marketing Campaigns Manager for Keeper Security and contributing writer with over 12 years of experience in the technology industry with a focus on SaaS. Adrien now leads Keeper’s marketing efforts to raise awareness about Keeper as a leader in cybersecurity in its mission to unify critical components of Identity and Access Management and enable zero-trust transformation.