Sophos, leader globale nell’innovazione e nella fornitura di cybersecurity as a service, ha pubblicato il suo nuovo “Active Adversary Report for Business Leaders”, una panoramica approfondita sull’evoluzione dei comportamenti in evoluzione e delle tecniche di attacco utilizzate dai cybercriminali nel 2022.

Questo report si basa su oltre 150 casi analizzati da Sophos Incident Response (IR) in tutto il mondo in 22 settori, che hanno permesso di identificare più di 500 tool e tecniche tra cui 118 file binari di tipo “Living off the Land” binaries (LOLBins). A differenza del malware, i LOLBin sono eseguibili che si trovano naturalmente sui sistemi operativi, e questo li rende molto più difficili da bloccare quando gli aggressori li sfruttano per le loro attività dannose.

Sophos ha inoltre scoperto come le vulnerabilità prive di patch siano la più comune causa principale di accesso iniziale ai sistemi presi di mira. Nella metà dei casi inclusi nel report, infatti, i cybercriminali hanno sfruttato le vulnerabilità di ProxyShell e Log4Shell, vulnerabilità risalenti al 2021, per infiltrarsi nelle reti delle organizzazioni.

La seconda causa principale più comune degli attacchi evidenziata dagli esperti è l’utilizzo di credenziali compromesse.

Più di due terzi degli attacchi analizzati dal team IR di Sophos (68%) riguardavano ransomware, a dimostrazione del fatto che il ransomware è ancora una delle minacce più pervasive per le aziende. Il ransomware ha inoltre rappresentato quasi i tre quarti delle indagini IR di Sophos negli ultimi tre anni.

Mentre il ransomware domina ancora il panorama delle minacce, il tempo di permanenza degli aggressori è diminuito nel 2022, da 15 a 10 giorni, per tutti i tipi di attacco. Per i casi di ransomware, il tempo di permanenza è diminuito da 11 a 9 giorni, mentre la diminuzione è stata ancora maggiore per gli attacchi non ransomware. Il tempo di permanenza per quest’ultimo è diminuito da 34 giorni nel 2021 a soli 11 giorni nel 2022. Tuttavia, a differenza degli anni passati, non si sono verificate variazioni significative nei tempi di permanenza tra organizzazioni o settori di dimensioni diverse.

Punti chiave

  • Il ransomware è ancora una minaccia pervasiva
  • La tecnologia e i servizi di rilevamento e risposta stanno facendo progressi misurabili contro gli aggressori
  • Patch, patch, patch
  • Le aziende si espongono al rischio di attacchi ripetuti quando non dispongono o non conservano i log data
  • Il tempo di permanenza degli aggressori si sta riducendo, nel bene e nel male
  • Una volta che un utente malintenzionato è all’interno della tua rete, le probabilità che i tuoi dati vengano esfiltrati sono pericolosamente alte

Da dove provengono i dati

Per questo report, l’81% del set di dati è stato derivato da organizzazioni con meno di 1000 dipendenti, propense a richiedere i servizi Sophos IR, del settore manifatturiero (20%), seguito da sanità (12%), istruzione (9%) e vendita al dettaglio (8%). In totale, in questo set di dati sono rappresentati 22 diversi settori. Nel complesso, i numeri non devono essere considerati una dichiarazione esauriente su questo aspetto del panorama generale delle minacce – nessun settore è al sicuro dagli attacchi, purtroppo – ma, negli ultimi anni si è assistito a numerosi attacchi prolungati contro le istituzioni sanitarie e scolastiche pochi anni, e non sorprende ritrovare questi settori in cima alla lista.

Tipi di attacco: il ransomware esegue il gioco

Le organizzazioni di tutti i dati demografici hanno subito un assalto prolungato di attacchi ransomware lo scorso anno. Sebbene le notizie abbiano affermato che gli attacchi ransomware si sono stabilizzati o addirittura diminuiti nel 2022, oltre i due terzi (68%) degli incidenti registrati nei dati di Active Adversary di quest’anno sono stati attacchi ransomware, seguiti da violazioni della rete non ransomware (18%).

Anche se il ransomware potrebbe aver fermato la sua crescita esponenziale man mano che gli aggressori diversificano i loro obiettivi, era ancora molto più comune di tutte le altre forme di attacco nel 2022. In una prospettiva più lunga, il ransomware lo si vede al primo posto per tutti e tre gli anni del report di Sophos, con quasi tre quarti (73%) delle indagini IR che coinvolgono attacchi ransomware in quel lasso di tempo.

Gli attacchi ransomware saranno sempre altamente rappresentati nei set di dati IR poiché tali attacchi sono i più visibili e distruttivi e spesso richiedono l’aiuto più esperto.

Le violazioni della rete dominano il resto del campo con il 58% dei casi. In altre parole, più della metà di tutti gli attacchi non ransomware consisteva in un’intrusione, ma non è stato identificato alcun motivo chiaro; l’esfiltrazione dei dati non può essere né confermata né esclusa come motivo in questi casi.

Registrato un numero crescente di attacchi di esfiltrazione di dati (13%) ed estorsione di dati (8%) nel set di dati. Questi tipi di attacchi sono definiti dal furto di dati (esfiltrazione) in cui può essere richiesto anche il pagamento (estorsione) – anch’essi tratti distintivi di alcune varietà di ransomware, ma gli altri tratti distintivi di un attacco ransomware (ad esempio, la crittografia dei dati in situ) erano non presenti in questi casi.

Oltre alle violazioni e all’esfiltrazione, la varietà dei diversi tipi di attacco nei dati di quest’anno è leggermente aumentata. È possibile che questa diversità sia dovuta al fatto che gli aggressori non raggiungono i loro obiettivi finali. Sempre più aziende stanno adottando tecnologie come EDR (Endpoint Detection and Response), NDR (Network Detection and Response) e XDR (Xtended Detection & Response) o servizi come MDR (Managed Detection and Response), che consentono loro di individuare prima i problemi. Questo a sua volta significa che possono fermare un attacco in corso ed espellere gli intrusi prima che venga raggiunto l’obiettivo primario, o prima che un altro intruso più maligno trovi un varco di protezione localizzato per primo da un avversario minore.

Cause alla radice: stanno entrando o effettuando l’accesso

Gli esperti, non solo hanno identificato il metodo di accesso iniziale (ovvero, come gli aggressori siano entrati nella rete), ma hanno tentato di attribuire il loro successo a una causa principale. Per il secondo anno consecutivo, le vulnerabilità sfruttate (37%) hanno contribuito maggiormente alle cause profonde degli attacchi. Questo è inferiore al totale dello scorso anno (47%) ma coerente con il nostro conteggio triennale (35%).

Molti di questi attacchi avrebbero potuto essere prevenuti se fossero state implementate solo le patch disponibili. Nel 55% di tutte le indagini in cui la vulnerabilità agli exploit era la causa principale, la colpa era dello sfruttamento della vulnerabilità ProxyShell o Log4Shell. Le patch per queste vulnerabilità sono state rese disponibili rispettivamente in aprile/maggio 2021 e dicembre 2021. C’è stato esattamente un incidente di un vero attacco zero-day nel set di dati di Sophos, in cui è stato vista la vulnerabilità Log4Shell utilizzata nel luglio 2022, cinque mesi prima del rilascio della patch.

La seconda causa principale più diffusa è stata la compromissione delle credenziali (30%). La provenienza di queste credenziali non è generalmente nota, ma questa causa principale può spesso indicare la presenza di broker di accesso iniziale (IAB) nella rete. Quando sono coinvolti servizi remoti esterni, il primo segno di un attacco è spesso un accesso riuscito con un account valido.

Se c’è una causa principale che piacerebbe non ritrovare nel prossimo report, è “Sconosciuto”, la notazione data da Sophos per gli incidenti in cui la perdita di prove forensi sulla rete è stata così significativa da rendere impossibile assegnare una causa principale con un grado di confidenza sufficientemente elevato. Arrivato terzo quest’anno, “Unknown” rappresenta il 17% di tutte le cause alla radice, ma è ancora la seconda causa alla radice più comune di tutti i tempi con il 29%. Il problema con “Sconosciuto” è che impedisce la correzione completa.

La perdita di prove forensi avviene in molti modi, alcuni dei quali non dovuti alle azioni degli aggressori. A volte gli aggressori cancellano i dati per cancellare le loro tracce, certamente, ma altre volte i difensori ricreano l’immagine dei sistemi prima di avviare un’indagine. Alcuni sistemi sono configurati per sovrascrivere i loro log troppo velocemente e/o frequentemente. Peggio ancora, alcune organizzazioni non raccolgono le prove in primo luogo. Indipendentemente dal fatto che le prove siano state cancellate dagli aggressori o dai difensori, questa perdita di dati forensi rimuove preziose informazioni che potrebbero essere state ottenute dalla sua presenza. Proprio come i backup dei dati, i backup dei log hanno un valore inestimabile quando si affronta un’indagine sulla risposta agli incidenti.

Tempo di permanenza: la buona notizia, la cattiva notizia

Il tempo di permanenza medio è diminuito quest’anno, il che potrebbe segnalare sia buone che cattive notizie a seconda di come si sceglie di interpretare i dati. La buona notizia è che potrebbe segnalare un miglioramento nel rilevamento degli attacchi attivi, un vero miglioramento per i difensori e le loro capacità. Il tempo medio di permanenza per tutti gli attacchi nel 2022 è stato di 10 giorni, in calo rispetto ai 15 giorni dell’ultimo report. Il miglioramento maggiore nei tempi di permanenza non ransomware è stato in calo di oltre 23 giorni da 34 giorni a 11 giorni. (C’erano, tuttavia, alcuni valori anomali, con una vittima che ha ospitato gli aggressori nella propria rete per più di 2,5 anni.) Anche i tempi di permanenza del ransomware sono diminuiti nel 2022, da 11 giorni a 9 giorni.

La cattiva notizia è che gli aggressori potrebbero accelerare i loro sforzi in risposta ai miglioramenti nelle capacità di rilevamento.

Quest’anno non si sono registrate differenze significative nel tempo di permanenza tra organizzazioni di diverse dimensioni o settori. Tuttavia, esaminando quando si verificavano questi attacchi per capire se gli aggressori mostrassero una preferenza per un particolare giorno della settimana per iniziare l’attacco o lanciare il loro payload, i dati non hanno mostrato risultati significativi per nessuno dei due, poiché le loro deviazioni standard erano piuttosto basse. Ciò rafforza l’idea che la maggior parte delle organizzazioni sia vittima di attacchi opportunistici, che possono iniziare o terminare in qualsiasi giorno della settimana. Con questo tipo di diffusione, avere un team di analisti qualificati che monitora costantemente l’ambiente è di fondamentale importanza.

Ci sono state alcune rivelazioni strabilianti in quello che chiamiamo tempo di permanenza pre-attacco. Il primo era il tempo massimo di permanenza. In un caso, gli esperti hanno riscontrato prove dell’attività di un aggressore e malware precedentemente non rilevato risalenti a quasi nove anni fa. In un set di dati sono stati trovati 75 casi in cui il tempo di permanenza medio era di 91 giorni, ovviamente migliore di 4000 giorni dispari, ma non il livello sperato di autoconsapevolezza aziendale riguardo alle proprie reti.

Attribuzione: più le cose cambiano…

Ogni anno Sophos pubblica una classifica dei gruppi ransomware più attivi nel loro set di dati. Quest’anno, dei 104 casi di ransomware indagati, LockBit ha conquistato il primo posto con il 15,24% dei casi gestiti, seguito da vicino da BlackCat (13%), Hive (12%) e Phobos (11%). Esaminando i gruppi attivi unici, sono state trovate 34 bande di ransomware attive nel 2022, rispetto ai 38 del 2021. Confrontando i gruppi attivi degli ultimi due anni, 13 sono rimasti attivi nel 2021 e nel 2022, mentre i due anni differivano rispettivamente di 25 e 21 gruppi unici – rafforzando l’osservazione di cui sopra che i giocatori cambiano, ma il gioco rimane lo stesso.

Un modello che è emerso nel tempo è che nessun elenco di gruppo è permanente e qualsiasi gruppo del passato può raggiungere la vetta in un dato anno: tutto ciò che serve è un’opportunità (sia che provenga da conflitti all’interno del gruppo o da sforzi di interruzione esterni per legge applicazione o altri mezzi) e un po’ di spazio in alto. Dato che questi gruppi sono quasi tutti operazioni ransomware-as-a-service (RaaS), non sorprende che gli affiliati si aggreghino attorno a determinati gruppi ben noti. Il successo e la notorietà generano più o meno la stessa cosa.

Alcuni gruppi persistono silenziosamente anno dopo anno; tar questi, gruppi come Cl0p, Cuba e LockBit sono presenti nel panorama dei ransomware da molti anni e continuano ad attaccare le organizzazioni fino al 2023. E, sebbene LockBit abbia costantemente scalato la classifica, ha raggiunto solo la vetta per puro volume e la scomparsa del leader dello scorso anno, Conti, che è stato chiuso all’inizio del 2022 a seguito dell’invasione di terra russa dell’Ucraina e che rappresentava ancora il 5% dei casi di ransomware nel 2022.

Dei 70 diversi gruppi di ransomware esaminati nei primi tre anni di questo report, Conti è il numero uno in assoluto, seguito da LockBit e REvil.

Manufatti: armi offensive, LOLbins e oggetti casuali

Gli artefatti (tool e tecniche) sono stati tracciati in tre categorie. I primi sono tool che possono essere legittimi kit di sicurezza offensiva o strumenti di hacking su misura. I secondi sono i file binari (LOLBins) che si trovano sulla maggior parte dei sistemi operativi Windows. La terza categoria è un insieme di tecniche, malware, provider di archiviazione cloud e altri artefatti difficili da classificare.

Quest’anno sono stati visti 524 tool e tecniche unici utilizzati dagli aggressori: 204 tool di hacking; 118 LOLBins; e altri 202 artefatti unici, che includono varie tattiche.

Cobalt Strike (42,76%) ha aperto la strada nel 2022, seguito da AnyDesk (30,26%), mimikatz (28,29%), Advanced IP Scanner (21,71%) e Netscan (19,74%). Allo stesso modo, PowerShell (74,34%) apre la strada a LOLBins nel 2022, più o meno, seguito da cmd.exe (50,00%), PsExec (44,08%), Utilità di pianificazione (28,29%) e net.exe (27,63%) per completare i primi cinque. Questi sono stati seguiti da rundll32.exe (25,66%) e WMI (19,74%) con una presenza minore ma comunque degna di nota.

Esfiltrazione, perdita e furto: addio, dati

Anche se può darsi che gli attacchi di esfiltrazione ed estorsione siano solo leggermente in aumento, la quantità di furti e perdite di dati da tutte le fonti, inclusi gli attacchi ransomware, è ancora sbalorditiva. Ci sono stati 65 eventi di esfiltrazione di dati confermati nel nostro set di dati nel 2022. In quasi la metà (42,76%) dei casi esaminati, questa statistica suggerisce che i tuoi dati hanno quasi la possibilità di essere rubati durante un attacco, come mostrato nella Figura 13.

Negli attacchi solo ransomware, oltre la metà (55%) ha riguardato l’esfiltrazione confermata, mentre un altro 12% dei casi ha mostrato segni di possibile esfiltrazione o data staging. Di quei casi in cui i dati sono stati esfiltrati, la metà (49%) ha dimostrato di aver portato a fughe di notizie confermate.

Conclusione

Qualunque sia la dimensione dell’organizzazione, del paese o del settore, nessuno è perfettamente al sicuro dagli attacchi, anche se anni di esposizione hanno intorpidito molte aziende alle basi dell’applicazione di patch, della conservazione di dati di registro utili e della pianificazione del ransomware. I progressi del settore nella tecnologia e nei servizi di rilevamento e risposta sono promettenti sia come modo per respingere gli aggressori sia per vanificare i loro scopi se riescono a eludere i livelli iniziali di difesa. Di conseguenza, il tempo di permanenza degli aggressori è diminuito in modo significativo nell’ultimo anno. Tuttavia, l’autocompiacimento è pericoloso: una volta che gli aggressori hanno stabilito un punto d’appoggio sulla tua rete, è molto probabile che i tuoi dati vengano esfiltrati, sia per essere rivenduti a te che al miglior offerente.

Il Sophos Active Adversary Report for Business Leaders si basa su 152 indagini di risposta agli incidenti (IR) in tutto il mondo in 22 settori. Le organizzazioni interessate erano situate in 31 paesi diversi, tra cui Stati Uniti e Canada, Regno Unito, Germania, Svizzera, Italia, Austria, Finlandia, Belgio, Svezia, Romania, Spagna, Australia, Nuova Zelanda, Singapore, Giappone, Hong Kong, India, Thailandia, Filippine, Qatar, Bahrein, Arabia Saudita, Emirati Arabi Uniti, Kenya, Somalia, Nigeria, Sud Africa, Messico, Brasile e Colombia.

Il Sophos Active Adversary Report for Business Leaders fornisce alle organizzazioni informazioni utili sulle minacce e approfondimenti necessari per ottimizzare le strategie e le difese di sicurezza.

Per saperne di più sui comportamenti, gli strumenti e le tecniche degli aggressori, consulta Everything Everywhere All At Once: The 2023 Active Adversary Report for Business Leaders su Sophos.com .

 

https://www.sophos.com/en-us/press/press-releases/2023/04/cyberattackers-leveraged-more-500-unique-tools-and-tactics-2022-sophos

Twitter
Visit Us
LinkedIn
Share
YOUTUBE