Aggiornamenti recenti Marzo 21st, 2023 9:30 AM
Giu 07, 2022 Redazione news Attacchi, News, RSS 0
Sophos ha pubblicato oggi il suo report “Active Adversary Playbook 2022”, che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response nel corso del 2021. I dati emersi dalla ricerca indicano un aumento del 36% nel tempo di permanenza dei cybercriminali all’interno dei sistemi colpiti con un valore mediano di 15 giorni rispetto agli 11 del 2020.
Sottolineano inoltre l’impatto delle vulnerabilità ProxyShell all’interno di Microsoft Exchange, che Sophos ritiene siano sfruttate da alcuni IAB (Initial Access Broker) per violare le reti e rivenderne quindi l’accesso ad altri cyber criminali.
“Il mondo del cybercrimine è diventato incredibilmente variegato e specializzato. Gli Initial Access Broker (che forniscono al comparto della criminalità informatica l’accesso ai sistemi IT delle aziende) hanno sviluppato una vera e propria industria che viola un bersaglio, ne esplora l’ambiente IT o installa una backdoor, e quindi rivende l’accesso alle gang che si occupano di ransomware” – spiega John Shier, senior security advisor di Sophos.
“In questo scenario sempre più dinamico e specializzato, può essere difficile per le aziende tenere il passo con l’evoluzione dei tool e degli approcci usati dai cybercriminali. È essenziale che chi si difende sappia cosa cercare in ogni stadio della sequenza di attacco, così da poter rilevare e neutralizzare i tentativi di violazione più rapidamente possibile.” – aggiunge.
La ricerca mostra anche come il tempo di permanenza degli intrusi sia maggiore negli ambienti IT delle aziende più piccole: circa 51 giorni nelle realtà fino a 250 dipendenti contro i 20 giorni in quelle da 3.000 a 5.000 dipendenti.
Ha riscontrato anche che il valore mediano del tempo di permanenza dei cybercriminali prima di essere scoperti è maggiore per le intrusioni “stealth” che non scatenano attacchi evidenti come il ransomware, e per le piccole aziende e i segmenti economici minori che possiedono meno risorse dedicate alla sicurezza IT.
Tempi di permanenza più lunghi e punti di accesso aperti lasciano le aziende esposte a molteplici attacchi. Sono emerse prove di casi in cui la stessa azienda era soggetta agli attacchi di più avversari come IAB, gang specializzate in ransomware, cryptominer e occasionalmente anche operatori legati a molteplici ransomware.
Un altro dato emerso dalla ricerca è che, nonostante una diminuzione nell’uso di Remote Desktop Protocol (RDP) per l’accesso esterno, gli attaccanti ne hanno aumentato l’utilizzo a scopo di movimento laterale interno. Nel 2020 il RDP veniva utilizzato per attività esterne nel 32% dei casi analizzati, dato sceso al 13% nel 2021.
Per quanto questo cambiamento sia benvenuto e suggerisca una miglior gestione delle superfici di attacco esterne da parte delle aziende, i cybercriminali continuano ad abusare di RDP per i loro movimenti laterali interni. Sophos ha scoperto che l’uso di RDP per i movimenti laterali interni è avvenuto nell’82% dei casi analizzati nel 2021 contro il 69% del 2020
Lo studio ha evidenziato anche le combinazioni comuni di tool utilizzati per attaccare, che sono un segnale di allarme di attività indesiderate.
Per esempio, le analisi degli incidenti di sicurezza mostrano che nel 2021 sono stati osservati script PowerShell e script malevoli non-PowerShell insieme nel 64% dei casi, PowerShell e Cobalt Strike insieme nel 56% dei casi e PowerShell e PsExec insieme nel 51% dei casi. Il rilevamento di tali correlazioni può servire come allarme precoce di attacco imminente o come conferma di un attacco in corso.
“I segnali che dovrebbero mettere in allarme i responsabili della sicurezza IT comprendono il rilevamento di un tool, di una combinazione di tool o di attività in un punto inaspettato della rete o in un momento inaspettato” – spiega ancora Shier.
Il 50% degli incidenti ransomware osservati ha comportato l’esfiltrazione di dati. Il 73% degli incidenti in cui Sophos è intervenuta nel 2021 ha riguardato casi di ransomware. Di questi, il 50% ha comportato anche l’esfiltrazione di dati.
L’esfiltrazione è spesso l’ultima fase di un attacco prima che venga attivato il ransomware e le analisi degli incidenti hanno mostrato un intervallo medio tra i due eventi di 4,28 giorni con un valore mediano di 1,84 giorni.
Per quanto riguarda i cyber criminali più attivi, lo studio mostra che Conti è stata la gang ransomware più prolifica tra quelle osservate nel 2021, responsabile del 18% degli incidenti complessivi.
Il ransomware REvil è stato legato a un incidente su 10, mentre altre diffuse famiglie di ransomware sono state DarkSide, il RaaS colpevole dell’attacco a Colonial Pipeline negli USA, e Black KingDom, una delle “nuove” famiglie di ransomware comparsa nel marzo 2021 sulla scia della vulnerabilità ProxyLogon.
Sono stati identificati 41 differenti operatori di ransomware nei 144 incidenti coperti dall’analisi; di essi, 28 sono nuovi gruppi emersi per la prima volta nel 2021. Diciotto gang responsabili di incidenti nel 2020 sono scomparse dall’elenco relativo al 2021.
“Occorre applicare le patch per risolvere bug critici, specialmente nel software più diffuso e, come priorità, rafforzare la sicurezza dei servizi di accesso remoto. Finché non verranno chiusi i punti di ingresso esposti e verrà sradicato tutto quello che gli attaccanti hanno fatto per stabilire e mantenere l’accesso, chiunque sarà in grado di entrare insieme a loro, e probabilmente lo farà” – ha consigliato Shier.
Mar 17, 2023 0
Mar 16, 2023 0
Mar 13, 2023 0
Mar 09, 2023 0
Mar 21, 2023 0
Mar 20, 2023 0
Mar 17, 2023 0
Mar 17, 2023 0
Mar 20, 2023 0
L’affermazione del lavoro ibrido e remoto ha...Mar 17, 2023 0
Il team Security Intelligence di Microsoft ha recentemente...Mar 17, 2023 0
Akamai ha pubblicato un nuovo report della serie State of...Mar 17, 2023 0
Nuove regolamentazioni all’orizzonte: dopo il GDPR,...Mar 16, 2023 0
Trend Micro ha diffuso i risultati della nuova ricerca What...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 21, 2023 0
Pochi giorni fa è stata rilasciata Kali Purple, la...Mar 16, 2023 0
Mandiant, insieme al team Product Security e Incident...Mar 14, 2023 0
GitGuardian ha pubblicato il nuovo report The State of...Mar 13, 2023 0
Palo Alto Networks ha pubblicato il report State of...Mar 13, 2023 0
IBM Security ha organizzato nella cornice del Made di...