Site icon Sophos News

Sophos presenta il report Active Adversary Playbook 2022

Siamo lieti di presentare oggi  “Active Adversary Playbook 2022”, il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.

I dati emersi dalla ricerca indicano un aumento del 36% nel tempo di permanenza dei cybercriminali all’interno dei sistemi colpiti nel 2021 con un valore mediano di 15 giorni rispetto agli 11 del 2020.

Il report sottolinea inoltre l’impatto delle vulnerabilità ProxyShell all’interno di Microsoft Exchange, che Sophos ritiene siano sfruttate da alcuni IAB (Initial Access Broker) per violare le reti e rivenderne quindi l’accesso ad altri malintenzionati.

“Il mondo del cybercrimine è diventato incredibilmente variegato e specializzato. Gli Initial Access Broker (che forniscono al comparto della criminalità informatica l’accesso ai sistemi IT delle aziende)  hanno sviluppato una vera e propria industria che viola un bersaglio, ne esplora l’ambiente IT o installa una backdoor, e quindi rivende l’accesso alle gang che si occupano di ransomware spiega John Shier, senior security advisor di Sophos. “In questo scenario sempre più dinamico e specializzato, può essere difficile per le aziende tenere il passo con l’evoluzione dei tool e degli approcci usati dai cybercriminali. È essenziale che chi si difende sappia cosa cercare in ogni stadio della sequenza di attacco, così da poter rilevare e neutralizzare i tentativi di violazione più rapidamente possibile”.

La ricerca di Sophos mostra anche come il tempo di permanenza degli intrusi sia maggiore negli ambienti IT delle aziende più piccole: circa 51 giorni nelle realtà fino a 250 dipendenti contro i 20 giorni in quelle da 3.000 a 5.000 dipendenti.

“I cybercriminali attribuiscono un valore superiore alle aziende più grandi, quindi sono maggiormente motivati a entrare, fare ciò che devono e quindi uscirne. Le aziende più piccole hanno un ‘valore’ percepito inferiore, quindi i malintenzionati possono permettersi di restare dentro la rete per periodi di tempo più lunghi. È anche possibile che in questi casi gli autori degli attacchi siano meno esperti e quindi occorra loro più tempo per capire cosa fare una volta dentro la rete. Le piccole aziende, inoltre, hanno generalmente meno visibilità sulle sequenze di attacco e di conseguenza fanno più fatica a rilevare e neutralizzare le violazioni prolungando così la presenza dei cybercriminali ”, commenta Shier. “Con le opportunità che scaturiscono dalle vulnerabilità ProxyLogon e ProxyShell non risolte e dalla diffusione degli Initial Access Broker, stiamo verificando sempre più spesso la presenza di più attaccanti all’interno di una stessa vittima. Se in una rete ci sono più malintenzionati, ciascuno di essi vorrà agire più rapidamente possibile per battere la concorrenza sul tempo”.

Tra i dati più rilevanti emersi si segnalano i seguenti:

“I segnali che dovrebbero mettere in allarme i responsabili della sicurezza IT comprendono il rilevamento di un tool, di una combinazione di tool o di attività in un punto inaspettato della rete o in un momento inaspettato”spiega ancora Shier. “Vale la pena ricordare che possono esserci momenti di scarsa o nessuna attività, ma ciò non significa che un’azienda non sia stata violata. Probabilmente ci sono, per esempio, molte più violazioni ProxyLogon o ProxyShell di quante siano attualmente note, dove web shell e backdoor sono state installate per ottenere un accesso persistente e che restano attualmente inattive fino a quando l’accesso non verrà utilizzato o rivenduto ad altri. Occorre applicare le patch per risolvere bug critici, specialmente nel software più diffuso e, come priorità, rafforzare la sicurezza dei servizi di accesso remoto. Finché non verranno chiusi i punti di ingresso esposti e verrà sradicato tutto quello che gli attaccanti hanno fatto per stabilire e mantenere l’accesso, chiunque sarà in grado di entrare insieme a loro , e probabilmente lo farà”.

Lo studio Sophos Active Adversary Playbook 2022 si basa su 144 incidenti avvenuti nel 2021 in aziende di ogni dimensione e settore di attività situate nei seguenti Paesi: USA, Canada, Regno Unito, Germania, Italia, Spagna, Francia, Svizzera, Belgio, Paesi Bassi, Austria, Emirati Arabi Uniti, Arabia Saudita, Filippine, Bahamas, Angola e Giappone.

I settori maggiormente rappresentati sono industria (17%), retail (14%), sanità (13%), IT (9%), edilizia (8%) e scuola (6%).

L’obiettivo del report Sophos è quello di aiutare i responsabili della sicurezza informatica a comprendere cosa fanno i loro avversari nel corso degli attacchi e come individuare e proteggersi dalle attività malevole circolanti in rete. Per maggiori informazioni sui comportamenti, sui tool e sulle tecniche in uso da parte dei cybercriminali è possibile consultare Sophos Active Adversary Playbook 2022 su Sophos News.

Exit mobile version