Sophos ha pubblicato la sua nuova analisi Active Adversary dal titolo “It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024”.
Il report, che analizza oltre 150 risposte a incidenti (IR) gestite dal team Sophos X-Ops nel 2023, evidenzia come i cybercriminali abbiano sfruttato a proprio vantaggio il protocollo RDP (remote desktop protocol) — un metodo comune per stabilire l’accesso a sistemi Windows remoti — nel 90% degli attacchi sferrati.
Si tratta della più alta incidenza di abusi del protocollo RDP da quando Sophos ha iniziato a pubblicare i report Active Adversary nel 2021 analizzando i dati relativi al 2020.
I servizi remoti esterni come RDP sono stati inoltre il vettore più comune attraverso il quale gli autori degli attacchi sono riusciti a violare le reti, rappresentando la via di accesso iniziale nel 65% dei casi IR del 2023. I servizi remoti esterni appaiono regolarmente come il metodo di accesso iniziale più frequente fin dal primo report Active Adversary pubblicato; chi si difende dovrebbe considerare questo dato come un chiaro segno della necessità di prioritizzare la gestione di questi servizi nella valutazione dei rischi aziendali.
“I servizi remoti esterni sono per molte aziende un requisito necessario ma rischioso. I cybercriminali conoscono bene i pericoli che questi servizi comportano e cercano attivamente di sfruttarli per riscuotere il premio che essi promettono. Tenere esposti dei servizi senza adeguate cautele e tecniche di mitigazione dei relativi rischi porta inevitabilmente a violazioni informatiche. Non serve molto tempo perché un attaccante riesca a trovare e violare un server RDP esposto e, senza controlli supplementari, nemmeno il server Active Directory che lo aspetta dall’altra parte”, ha dichiarato John Shier, field CTO di Sophos.
Nel caso di un cliente Sophos X-Ops, attaccato quattro volte in sei mesi, i cybercriminali hanno ottenuto l’accesso in tutti i quattro casi grazie a porte RDP esposte. Una volta all’interno della rete gli autori dell’attacco hanno continuato a muoversi lateralmente scaricando eseguibili pericolosi, disabilitando le protezioni degli endpoint e stabilendo le proprie capacità di accesso remoto.
Credenziali compromesse e sfruttamento delle vulnerabilità sono ancora le due cause primarie di attacco più comuni. Tuttavia il report 2023 Active Adversary Report for Tech Leaders, pubblicato lo scorso mese di agosto, aveva scoperto che nella prima metà dell’anno le credenziali compromesse avevano superato per la prima volta le vulnerabilità come principale causa primaria di attacco.
Questa tendenza è proseguita nel resto del 2023, quando le credenziali compromesse hanno rappresentato la causa primaria di oltre il 50% delle casistiche IR dell’intero anno. Guardando ai dati cumulativi raccolti dai report Active Adversary dal 2020 al 2023, le credenziali compromesse sono anche la principale causa primaria di attacchi di sempre, riguardando quasi un terzo di tutti i casi IR.
Eppure, nonostante la prevalenza storica di questa tecnica, l’autenticazione multifattore ha continuato ad essere assente nel 43% delle casistiche IR del 2023.
Sfruttare le vulnerabilità è stata la seconda causa primaria di attacchi sia nel 2023 che nel periodo cumulato dal 2020 al 2023, responsabile rispettivamente del 16% e 30% delle casistiche IR.
“La gestione del rischio è un processo attivo. Di fronte a cybercriminali determinati e alle loro costanti minacce, le aziende che la sanno fare bene si trovano in una situazione migliore rispetto a quelle che non ci riescono. Un importante aspetto della gestione dei rischi di sicurezza, oltre alla loro identificazione e prioritizzazione, riguarda la capacità di agire in base alle informazioni raccolte. Eppure, certi rischi come i servizi RDP aperti continuano da troppo tempo a rendere vulnerabili le aziende per la felicità degli autori degli attacchi che possono entrarci dalla porta principale. Proteggere la rete riducendo i servizi esposti e vulnerabili e rafforzando le tecniche di autenticazione aumenta la sicurezza complessiva e consente di rispondere meglio ai cyberattacchi”, ha aggiunto Shier.
L’analisi Sophos Active Adversary Report per il primo semestre 2024 è basata sullo studio di oltre 150 risposte a incidenti (IR) avvenuti in 26 settori di attività a livello mondiale. Le aziende colpite si trovavano in 23 diversi Paesi: Stati Uniti, Canada, Messico, Colombia, Regno Unito, Svezia, Svizzera, Spagna, Germania, Polonia, Italia, Austria, Belgio, Filippine, Singapore, Malesia, India, Australia, Kuwait, Emirati Arabi Uniti, Arabia Saudita, Sudafrica e Botswana.
Per maggiori informazioni è possibile consultare l’analisi It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024 su Sophos.com.
Lascia un commento