Active Adversary Playbook
Ricerche sulle CyberMinacce

Cyberattacchi Invisibili: +51% di attacchi con applicazioni legittime nel 2024

Scritto da
18 Dicembre 2024
Security Operations Threat Research active adversary Active Adversary Report featured incident response IR LoLBINs MDR RDP

Sophos ha pubblicato oggi “The Bite from Inside: The Sophos Active Adversary Report”, uno sguardo approfondito sui comportamenti e sulle tecniche che i cybercriminali hanno utilizzato nella prima metà del 2024.

I dati, che scaturiscono da quasi 200 casi di risposta a incidenti (IR) seguiti dai team Sophos X-Ops IR e Sophos X-Ops Managed Detection and Response (MDR), mostrano come gli autori degli attacchi stiano sfruttando applicazioni e tool legittimi presenti nei sistemi Windows – una tecnica nota come “living off the land” – per esaminare i sistemi stessi e mantenere una presenza persistente al loro interno.

Sophos ha notato un incremento del 53% nell’uso di file binari “Living off the Land” (o LOLbins) rispetto al 2023; un dato che dal 2021 è aumentato dell’83%.

Tra i 187 singoli LOLbins Microsoft rilevati nella prima metà dell’anno, l’applicazione legittima più frequentemente sfruttata dai cybercriminali è stata RDP o Remote Desktop Protocol. L’abuso di RDP è stato registrato nell’89% dei quasi 200 casi IR analizzati. Questo predominio conserva una tendenza osservata inizialmente nel 2023 Active Adversary Report, nel quale l’abuso di RDP era apparso prevalente nel 90% di tutti i casi IR investigati.

“La tecnica living-off-the-land non solo permette di mascherare le attività di un cybercriminale ma fornisce anche una tacita approvazione delle relative azioni. Se l’abuso di alcuni tool legittimi può sollevare qualche dubbio e magari far suonare un campanello di allarme, l’abuso di un file binario Microsoft genera spesso l’effetto opposto. Molti dei tool Microsoft abusati fanno parte di Windows e la loro presenza è legittima, ma è compito degli amministratori di sistema capire il modo in cui essi vengono usati nei rispettivi ambienti e decidere cosa in particolare possa costituire un abuso. Senza una consapevolezza completa e contestuale dell’ambiente, compresa una continua vigilanza sugli eventi che possono emergere e svilupparsi all’interno della rete, i team IT rischiano di perdere di vista le attività pericolose che spesso rappresentano i prodromi del ransomware”, ha dichiarato John Shier, field CTO di Sophos.

Il report ha rilevato anche come, nonostante a febbraio le autorità avessero neutralizzato il sito e l’infrastruttura principali di LockBit, questo gruppo specializzato in ransomware sia ancora quello incontrato più frequentemente nelle analisi essendo responsabile di circa il 21% delle infezioni registrate nella prima metà del 2024.

Altri dati emersi dal nuovo Active Adversary Report:

  • La causa originaria degli attacchi: proseguendo una tendenza apparsa inizialmente nell’Active Adversary Report for Tech Leaders, la compromissione delle credenziali è tuttora la più diffusa causa originaria degli attacchi, essendo responsabile del 39% dei casi analizzati; il dato è tuttavia in discesa rispetto al 56% del 2023
  • Le violazioni di rete in cima alla lista del team MDR: quando si esaminano solamente i casi riportati dal team Sophos MDR, le violazioni di rete rappresentano il tipo di incidente più frequentemente incontrato
  • Il dwell time di accorcia per i team MDR: nei casi gestiti dal team Sophos IR, il dwell time (l’intervallo di tempo che va dall’inizio di un attacco fino al suo rilevamento) è rimasto fermo a circa otto giorni. Con MDR, invece, il valore mediano è di un solo giorno per tutte le tipologie di incidente e di soli tre giorni per gli attacchi ransomware
  • I server Active Directory colpiti più spesso stanno arrivando al termine della vita operativa: i cybercriminali hanno colpito più frequentemente le versioni 2019, 2016 e 2012 dei server Active Directory (AD). Tutte queste tre versioni sono uscite dal programma di supporto Mainstream di Microsoft e si trovano a un passo dallo stato end-of-life (EOL) senza più possibilità di ricevere patch salvo attraverso una assistenza a pagamento da parte di Microsoft stessa. Da aggiungere che il 21% dei server AD colpiti si trova già in una versione EOL

Per maggiori informazioni sui comportamenti, sui tool e sulle tecniche dei cybercriminali è possibile leggere “The Bite from Inside: The Sophos Active Adversary Report” al link https://news.sophos.com/en-us/2024/12/12/active-adversary-report-2024-12/ .

L’autore

Dopo aver intrapreso la sua carriera nel mondo dell’ICT in Infostrada nel 2000, è poi approdata prima in Business Objects e successivamente in SAP. Appassionata da sempre di tecnologie e di tutto ciò che ruota intorno all’IT Security, è Marketing manager Italia di Sophos dal 2010.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *