Aggiornamenti recenti Settembre 21st, 2023 2:00 PM
Giu 07, 2022 Redazione news Attacchi, News, RSS 0
Sophos ha pubblicato oggi il suo report “Active Adversary Playbook 2022”, che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response nel corso del 2021. I dati emersi dalla ricerca indicano un aumento del 36% nel tempo di permanenza dei cybercriminali all’interno dei sistemi colpiti con un valore mediano di 15 giorni rispetto agli 11 del 2020.
Sottolineano inoltre l’impatto delle vulnerabilità ProxyShell all’interno di Microsoft Exchange, che Sophos ritiene siano sfruttate da alcuni IAB (Initial Access Broker) per violare le reti e rivenderne quindi l’accesso ad altri cyber criminali.
“Il mondo del cybercrimine è diventato incredibilmente variegato e specializzato. Gli Initial Access Broker (che forniscono al comparto della criminalità informatica l’accesso ai sistemi IT delle aziende) hanno sviluppato una vera e propria industria che viola un bersaglio, ne esplora l’ambiente IT o installa una backdoor, e quindi rivende l’accesso alle gang che si occupano di ransomware” – spiega John Shier, senior security advisor di Sophos.
“In questo scenario sempre più dinamico e specializzato, può essere difficile per le aziende tenere il passo con l’evoluzione dei tool e degli approcci usati dai cybercriminali. È essenziale che chi si difende sappia cosa cercare in ogni stadio della sequenza di attacco, così da poter rilevare e neutralizzare i tentativi di violazione più rapidamente possibile.” – aggiunge.
La ricerca mostra anche come il tempo di permanenza degli intrusi sia maggiore negli ambienti IT delle aziende più piccole: circa 51 giorni nelle realtà fino a 250 dipendenti contro i 20 giorni in quelle da 3.000 a 5.000 dipendenti.
Ha riscontrato anche che il valore mediano del tempo di permanenza dei cybercriminali prima di essere scoperti è maggiore per le intrusioni “stealth” che non scatenano attacchi evidenti come il ransomware, e per le piccole aziende e i segmenti economici minori che possiedono meno risorse dedicate alla sicurezza IT.
Tempi di permanenza più lunghi e punti di accesso aperti lasciano le aziende esposte a molteplici attacchi. Sono emerse prove di casi in cui la stessa azienda era soggetta agli attacchi di più avversari come IAB, gang specializzate in ransomware, cryptominer e occasionalmente anche operatori legati a molteplici ransomware.
Un altro dato emerso dalla ricerca è che, nonostante una diminuzione nell’uso di Remote Desktop Protocol (RDP) per l’accesso esterno, gli attaccanti ne hanno aumentato l’utilizzo a scopo di movimento laterale interno. Nel 2020 il RDP veniva utilizzato per attività esterne nel 32% dei casi analizzati, dato sceso al 13% nel 2021.
Per quanto questo cambiamento sia benvenuto e suggerisca una miglior gestione delle superfici di attacco esterne da parte delle aziende, i cybercriminali continuano ad abusare di RDP per i loro movimenti laterali interni. Sophos ha scoperto che l’uso di RDP per i movimenti laterali interni è avvenuto nell’82% dei casi analizzati nel 2021 contro il 69% del 2020
Lo studio ha evidenziato anche le combinazioni comuni di tool utilizzati per attaccare, che sono un segnale di allarme di attività indesiderate.
Per esempio, le analisi degli incidenti di sicurezza mostrano che nel 2021 sono stati osservati script PowerShell e script malevoli non-PowerShell insieme nel 64% dei casi, PowerShell e Cobalt Strike insieme nel 56% dei casi e PowerShell e PsExec insieme nel 51% dei casi. Il rilevamento di tali correlazioni può servire come allarme precoce di attacco imminente o come conferma di un attacco in corso.
“I segnali che dovrebbero mettere in allarme i responsabili della sicurezza IT comprendono il rilevamento di un tool, di una combinazione di tool o di attività in un punto inaspettato della rete o in un momento inaspettato” – spiega ancora Shier.
Il 50% degli incidenti ransomware osservati ha comportato l’esfiltrazione di dati. Il 73% degli incidenti in cui Sophos è intervenuta nel 2021 ha riguardato casi di ransomware. Di questi, il 50% ha comportato anche l’esfiltrazione di dati.
L’esfiltrazione è spesso l’ultima fase di un attacco prima che venga attivato il ransomware e le analisi degli incidenti hanno mostrato un intervallo medio tra i due eventi di 4,28 giorni con un valore mediano di 1,84 giorni.
Per quanto riguarda i cyber criminali più attivi, lo studio mostra che Conti è stata la gang ransomware più prolifica tra quelle osservate nel 2021, responsabile del 18% degli incidenti complessivi.
Il ransomware REvil è stato legato a un incidente su 10, mentre altre diffuse famiglie di ransomware sono state DarkSide, il RaaS colpevole dell’attacco a Colonial Pipeline negli USA, e Black KingDom, una delle “nuove” famiglie di ransomware comparsa nel marzo 2021 sulla scia della vulnerabilità ProxyLogon.
Sono stati identificati 41 differenti operatori di ransomware nei 144 incidenti coperti dall’analisi; di essi, 28 sono nuovi gruppi emersi per la prima volta nel 2021. Diciotto gang responsabili di incidenti nel 2020 sono scomparse dall’elenco relativo al 2021.
“Occorre applicare le patch per risolvere bug critici, specialmente nel software più diffuso e, come priorità, rafforzare la sicurezza dei servizi di accesso remoto. Finché non verranno chiusi i punti di ingresso esposti e verrà sradicato tutto quello che gli attaccanti hanno fatto per stabilire e mantenere l’accesso, chiunque sarà in grado di entrare insieme a loro, e probabilmente lo farà” – ha consigliato Shier.
Set 14, 2023 0
Set 13, 2023 0
Set 12, 2023 0
Set 07, 2023 0
Set 21, 2023 0
Set 21, 2023 0
Set 20, 2023 0
Set 20, 2023 0
Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Set 13, 2023 0
Il fenomeno dei ransomware non si arresta e, anzi, continua...Set 13, 2023 0
Il furto di account rimane uno dei principali problemi di...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 21, 2023 0
Nel corso di Innovation 2023, Intel ha annunciato il...Set 21, 2023 0
Sale la tensione tra Pechino e Washington: la Cina ha...Set 20, 2023 0
Earth Lusca è ancora in attività: il gruppo...Set 20, 2023 0
I ricercatori di Wiz, compagnia di sicurezza per il...Set 19, 2023 0
HWG, azienda di servizi gestiti e consulenza cyber, e...