FireEye Inc ha pubblicato il report annuale “M-Trends 2021” giunto alla sua 12° edizione che riunisce il meglio delle competenze di sicurezza informatica e di intelligence sulle minacce con dati e approfondimenti tempestivi basati su indagini in prima linea raccolte da Mandiant su attacchi informatici in tutto il mondo e rimedi ad alto impatto.
Il rapporto di quest’anno delinea i dettagli critici sulle tendenze delle tecniche di attacco e del malware, la proliferazione di estorsioni e ransomware multifaceted, la preparazione per gli attori delle minacce imitative UNC2452 / SUNBURST, le crescenti minacce interne, oltre alle tendenze pandemiche e di targeting del settore.
Alcuni dei risultati del 2021 includono:
- Evoluzione del ransomware
- Aumento dei rilevamenti di incidenti interni
- Primo calo del tempo di permanenza mediano globale al di sotto di 30 giorni
Il ransomware è in evoluzione
Gli esperti Mandiant hanno riferito che nel 2020 sono state effettuate il doppio delle indagini sui ransomware rispetto al 2019. La ricerca ha rivelato un netto cambiamento negli attacchi ransomware, in modo tale che gli attori:
- Distribuiscono ransomware encryptors
- Minacciano di rendere pubblici i dati riservati rubati tramite una violazione dei dati
- Pubblicano i dati rubati su un sito web “name-and-shame”
Mandiant ha etichettato questa attività come “estorsione multiforme” e continua a essere una delle principali preoccupazioni per le organizzazioni mentre gli attori delle minacce evolvono la loro tecnologia e adattano le loro tattiche in risposta al mutevole panorama della sicurezza.
“L’estorsione multiforme e il ransomware sono le minacce più diffuse per le organizzazioni. Nel rapporto di quest’anno, il probabile motivo per almeno il 36% delle intrusioni che abbiamo esaminato è stato il guadagno finanziario diretto. Il furto di dati e la rivendita di accesso non autorizzato alle organizzazioni delle vittime rimangono elevati poiché gli attori multiformi di estorsione e ransomware si sono allontanati da campagne puramente opportunistiche a favore di organizzazioni che hanno maggiori probabilità di pagare grandi richieste di estorsione. Dato questo aumento, le organizzazioni devono intraprendere azioni proattive per mitigare il potenziale impatto”, – Charles Carmakal, Senior Vice President e Chief Technology Officer, Mandiant
Il tempo di permanenza globale migliora
Dal 2011, Mandiant osserva le tendenze globali del tempo di permanenza mediano, segnalando un calo al di sotto di un mese per la prima volta nel 2020, poiché le organizzazioni identificano gli incidenti quasi il doppio rispetto all’anno precedente. Mandiant ha attribuito questa riduzione a:
- Il continuo sviluppo e miglioramento delle capacità di rilevamento e risposta dell’organizzazione
- Un’evoluzione del panorama delle minacce
La percentuale di indagini che coinvolgono ransomware è salita al 25% nel 2020, dal 14% nel 2019, la maggior parte delle quali (78%) aveva tempi di permanenza di 30 giorni o meno.
Rilevamenti interni in aumento
M-Trends di quest’anno rileva un aumento del 12% nel rilevamento degli incidenti interni rispetto all’anno precedente. Gli esperti di Mandiant hanno osservato le organizzazioni che rilevano in modo indipendente la maggior parte dei propri incidenti, il che è in linea con la tendenza generale osservata negli ultimi cinque anni.
A livello regionale, il 61% dei rilevamenti nelle Americhe è derivato da incidenti interni, con EMEA e APAC strettamente allineati rispettivamente al 53% e al 52%. Il rapporto mostra anche che le organizzazioni APAC ed EMEA hanno ricevuto in proporzione più notifiche di compromissione da entità esterne rispetto a quelle del Nord America.
Gli aggressori restringono le visioni su vendita al dettaglio, ospitalità e assistenza sanitaria
I primi cinque settori più mirati, in ordine, sono Business and Professional Services, Retail and Hospitality, Financial, Healthcare and High Technology.
Gli esperti di Mandiant hanno osservato che le organizzazioni nel settore della vendita al dettaglio e dell’ospitalità sono state prese di mira più pesantemente nel 2020, arrivando come il secondo settore più mirato rispetto all’11° nel rapporto dello scorso anno. Anche l’assistenza sanitaria è aumentata in modo significativo, diventando il terzo settore più mirato nel 2020, rispetto all’ottavo nel rapporto dello scorso anno. Questa maggiore attenzione da parte degli attori delle minacce può molto probabilmente essere spiegata dal ruolo vitale svolto dal settore sanitario durante la pandemia globale.
“Il rapporto M-Trends di quest’anno ha identificato i tre vettori iniziali di compromissione più utilizzati come exploit (29%), e-mail di phishing (23%) e credenziali rubate o forza bruta (19%). Sebbene il phishing rimanga un vettore preferito dagli autori delle minacce informatiche, abbiamo visto più attori sfruttare gli exploit per compromettere le vittime. L’aumento dell’utilizzo degli exploit dovrebbe ricordare alle organizzazioni di disporre di un piano più solido per correggere le vulnerabilità dei prodotti. Una delle sfide qui è identificare quali fonti e informazioni sono disponibili per prendere decisioni migliori basate sul rischio quando si dà la priorità a quali sistemi e applicazioni applicare le patch ora e quali patch in una fase successiva, sulla base delle attuali conoscenze sullo sfruttamento e il targeting da parte degli attori delle minacce”, – Jurgen Kutscher, Vicepresidente esecutivo, Service Delivery, Mandiant.
Il rapporto completo di M-Trends del 2021 contiene ulteriori risultati, inclusi nuovi dettagli su UNC2452, modifiche alle industrie mirate, minacce legate alla pandemia e studi di casi.
Rapporto completo: https://www.fireeye.com/mtrends