I criminali informatici passano sempre più spesso inosservati nella rete aziendale
Sophos Cybersecurity, Cyber Threat, Cyberangriffe
I criminali informatici passano sempre più a lungo inosservati nella rete aziendale
Sophos ha pubblicato il suo rapporto "Active Adversary Playbook 2022". Descrive in dettaglio il comportamento dei criminali informatici osservato da Sophos nel 2021. Rapid Response Team Sophos ha osservato nel 2021. La ricerca mostra un aumento del tempo che i criminali informatici passano nelle reti aziendali del 36%. La media di reti non rilevate rete non rilevata senza un attacco importante come il ransomware è di 34 giorni. Il rapporto mostra anche l'impatto delle ProxyShell di Microsoft Exchange, che secondo Sophos viene sfruttata da alcuni broker di accesso iniziale. da una serie di broker di accesso iniziale (IAB) per penetrare nelle reti e poi e poi vendere l'accesso ad altri criminali informatici.
Il mondo del crimine informatico è diventato incredibilmente vario e specializzato", afferma John Shier. e specializzato", afferma John Shier, senior security advisor di Sophos. "I broker dell'accesso iniziale (IAB) hanno sviluppato una propria industria del crimine informatico. penetrando in un bersaglio, facendo una scouting o installando una backdoor, e poi backdoor e poi forniscono accesso chiavi in mano alle bande di ransomware per i loro attacchi. In questo panorama sempre più dinamico e specializzato delle minacce informatiche, può essere difficile per le organizzazioni può essere difficile tenere il passo con gli strumenti e i metodi in continua evoluzione degli aggressori. degli aggressori. È importante che sappiano cosa in ogni fase della catena di attacco, in modo da poter rilevare e neutralizzare gli attacchi il più rapidamente possibile. e neutralizzarli il più rapidamente possibile".
La potenza di lavoro rimane più a lungo nelle aziende più piccole e nel settore dell'istruzione
La ricerca di Sophos mostra anche che il tempo di permanenza degli
attaccanti è stato più lungo nelle aziende più piccole che in quelle più grandi.
I criminali informatici sono rimasti nelle aziende con un massimo di 250 dipendenti per
per circa 51 giorni. In confronto, nelle aziende con 3.000-5.000 dipendenti, in genere hanno trascorso
a 5.000 dipendenti, in genere hanno trascorso "solo" 20 giorni.
Gli attacchi ransomware rappresentano un caso particolare. In questo caso, i criminali agiscono complessivamente
"più velocemente" nel complesso, ma anche in questo caso la permanenza non rilevata nella rete è aumentata da
11 giorni nel 2020 a 15 giorni nel 2021.
Leaziende più grandi sono più "preziose"per i criminali informatici , che si contendono lo spazio
sulla rete
"Gli aggressori considerano le organizzazioni più grandi più preziose e sono quindi
motivati a entrare e uscire rapidamente.
scompaiono. Le organizzazioni più piccole hanno un "valore" più basso, così che
gli intrusi possono permettersi di rimanere più a lungo in background sulla rete.
rete. Tuttavia, è anche possibile che questi attaccanti abbiano
meno esperienza e quindi trascorrano più tempo sulla rete.
esplorazione. Le aziende più piccole tendono inoltre ad avere
hanno una minore conoscenza della catena di attacco per individuare e dissipare gli attacchi.
per dissipare gli attacchi. Questo prolunga anche la presenza degli aggressori", ha dichiarato Shier.
"Con le opportunità offerte dalle vulnerabilità ProxyLogon e ProxyShell non patchate, e con le opportunità offerte dalle vulnerabilità ProxyLogon e ProxyShell non patchate.
ProxyLogon e ProxyShell e l'emergere degli IAB, stiamo assistendo alla presenza di più aggressori sulla stessa rete bersaglio.
più aggressori sulla stessa rete bersaglio", ha aggiunto.
rete. Quando le cose si fanno difficili, vogliono muoversi rapidamente per anticipare i concorrenti ed emergere".
concorrenti per emergere".
Il tempo medio di permanenza fino al rilevamento è stato più lungo per gli attacchi "stealth" che non si erano evoluti in un attacco come il ransomware, e per le organizzazioni più piccole che con meno risorse per la sicurezza informatica. Il tempo medio di permanenza degli attaccanti nelle organizzazioni colpite da ransomware è stato di 15 giorni. Per le organizzazioni che erano state violate ma non ancora colpite da un attacco attacco come il ransomware (23% di tutti i casi esaminati), il tempo medio di permanenza degli aggressori nelle organizzazioni che erano state violate ma non ancora colpite da un attacco come il ransomware casi), il tempo medio di permanenza è stato di 34 giorni. Per le organizzazioni nel settore dell'istruzione o con meno di 500 dipendenti, il tempo di permanenza è stato più lungo. era anche più lungo.
Tempi di permanenza più lunghi e punti di accesso aperti rendono le organizzazioni organizzazioni vulnerabili a più aggressori. Gli esperti forensi di Sophos hanno scoperto casi casi in cui più aggressori, tra cui IAB, Ransomware-Banden, cryptominer e, occasionalmente, anche più gruppi di ransomware, hanno preso di mira la stessa organizzazione nello stesso momento. mirato alla stessa organizzazione
Nonostante il calo dell'uso del protocollo Remote Desktop Desktop Protocol (RDP) per l'accesso esterno, gli aggressori hanno utilizzato sempre più spesso questo strumento per accedere alla rete. sempre più spesso hanno utilizzato questo strumento per intrufolarsi nella rete. Nel 2020, gli aggressori hanno utilizzato RDP per attività esterne nel 32% dei casi analizzati. Questa quota Questo cambiamento è da accogliere con favore e suggerisce che le aziende stanno e suggerisce che le organizzazioni hanno migliorato la gestione delle superfici d'attacco esterne, gli aggressori stanno superfici di attacco, ma gli aggressori stanno ancora abusando di RDP per movimenti laterali interni. Sophos ha rilevato che nel 2021, gli aggressori utilizzeranno RDP l'82 l'82% del tempo per la ricognizione della rete interna, rispetto al 69% di Jahr 2020.
Le combinazioni comuni di strumenti utilizzati negli attacchi sono un chiaro segnale di allarme per gli attacchi informatici. Le indagini sugli incidenti hanno rivelato, ad esempio, che hanno rivelato, ad esempio, che nel 2021, il 64% degli attacchi PowerShell e script malevoli non-PowerShell sono stati utilizzati insieme nel 64% dei casi. sono stati utilizzati insieme. PowerShell e Cobalt Strike sono stati utilizzati nel 56% dei casi. PowerShell e PsExec sono stati trovati in combinazione nel 51% dei casi. dei casi. L'individuazione di tali correlazioni può servire come un di un attacco imminente o confermare la presenza di un attacco attivo. di un attacco attivo.
Il 50% degli incidenti di ransomware ha comportato l'esfiltrazione confermata dei dati. esfiltrazione di dati confermata. Per i dati disponibili, il l'intervallo medio tra il furto di dati e l'uso di ransomware è stato di 4,28 giorni. ransomware è stato di 4,28 giorni. Il 73% degli incidenti a cui Sophos ha risposto nel 2021 riguardava il ransomware. Di questi incidenti con ransomware, il 50 percento ha coinvolto anche il 50 percento riguardava anche l'esfiltrazione dei dati. Questo spostamento di dati è spesso la fase finale dell'attacco prima che il ransomware venga rilasciato.
Conti è stato il gruppo di ransomware più comune nel 2021, con il 18% di tutti gli incidenti. Gruppo di ransomware. Il ransomware REvil ha rappresentato un incidente su dieci. Altre famiglie di ransomware comuni includono. DarkSide (il RaaS dietro il famigerato attacco Colonial Pipeline negli Stati Uniti) e Black KingDom, uno dei "nuovi" gruppi emersi nel marzo 2021 sulla scia della vulnerabilità ProxyLogon. vulnerabilità ProxyLogon. Dei 144 incidenti inclusi nell'analisi Sophos ha identificato 41 diversi aggressori di ransomware. Di questi 28 erano nuovi attori individuati per la prima volta nel 2021. Diciotto Gruppi di ransomware apparsi in incidenti nel 2020 non erano più presenti nell'elenco nel 2021. nell'elenco nel 2021.
Il Sophos Active Adversary Playbook 2022 si basa su. 144 incidenti del 2021, che hanno preso di mira aziende di ogni dimensione e settore negli Stati Uniti, Canada, Regno Unito, Germania, Italia, Spagna, Francia, Svizzera, Belgio, Paesi Bassi, Austria, Emirati Arabi Uniti, Arabia Saudita, Regno Unito e Emirati, Arabia Saudita, Filippine, Bahamas, Angola e Giappone. mirati. I settori più rappresentati sono quello manifatturiero (17%), seguito da commercio al dettaglio (14%), assistenza sanitaria (13%), informatica (13%). (13%), IT (9%), edilizia (8%) e istruzione (6%). (6 percento).
Vantaggi concreti per il settore della sicurezza informatica
L'obiettivo del report di Sophos è che i team di sicurezza capiscano come
come i cybercriminali attaccano e come rilevare e difendersi dalle attività dannose sui sistemi informatici.
e come rilevare e difendersi dalle attività dannose in rete. Un risultato di queste indagini è
la crescente creazione dei cosiddetti ecosistemi di sicurezza informatica, una strategia che
Anche Sophos sta attuando questa strategia con il suo Adaptive
Cybersecurity Ecosystem (ACE). Si basa sulla raccolta dei dati sulle
dati sulle minacce raccolti dai SophosLabs, dalle Sophos Security Operations (analisti umani
analisti umani coinvolti in migliaia di ambienti dei clienti attraverso il programma Sophos Managed Threat.
clienti attraverso il programma Sophos Managed Threat Response) e le risorse artificiali di Sophos.
Sophos. Un unico data lake integrato riunisce le informazioni provenienti da tutte le soluzioni e le fonti di intelligence sulle minacce di Sophos.
soluzioni e fonti di intelligence sulle minacce di Sophos. Analisi in tempo reale
consentono ai difensori di prevenire le intrusioni individuando i segnali sospetti.
segnali. Parallelamente, le API aperte permettono a clienti, partner e sviluppatori di
sviluppatori di sviluppare strumenti e soluzioni che interagiscono con il sistema.
Il tutto è gestito centralmente attraverso la piattaforma Sophos Central Management.