Sophos ha pubblicato oggi “The Bite from Inside: The Sophos Active Adversary Report”, uno sguardo approfondito sui comportamenti e sulle tecniche che i cybercriminali hanno utilizzato nella prima metà del 2024.
I dati, che scaturiscono da quasi 200 casi di risposta a incidenti (IR) seguiti dai team Sophos X-Ops IR e Sophos X-Ops Managed Detection and Response (MDR), mostrano come gli autori degli attacchi stiano sfruttando applicazioni e tool legittimi presenti nei sistemi Windows – una tecnica nota come “living off the land” – per esaminare i sistemi stessi e mantenere una presenza persistente al loro interno.
Sophos ha notato un incremento del 53% nell’uso di file binari “Living off the Land” (o LOLbins) rispetto al 2023; un dato che dal 2021 è aumentato dell’83%.
Tra i 187 singoli LOLbins Microsoft rilevati nella prima metà dell’anno, l’applicazione legittima più frequentemente sfruttata dai cybercriminali è stata RDP o Remote Desktop Protocol. L’abuso di RDP è stato registrato nell’89% dei quasi 200 casi IR analizzati. Questo predominio conserva una tendenza osservata inizialmente nel 2023 Active Adversary Report, nel quale l’abuso di RDP era apparso prevalente nel 90% di tutti i casi IR investigati.
“La tecnica living-off-the-land non solo permette di mascherare le attività di un cybercriminale ma fornisce anche una tacita approvazione delle relative azioni. Se l’abuso di alcuni tool legittimi può sollevare qualche dubbio e magari far suonare un campanello di allarme, l’abuso di un file binario Microsoft genera spesso l’effetto opposto. Molti dei tool Microsoft abusati fanno parte di Windows e la loro presenza è legittima, ma è compito degli amministratori di sistema capire il modo in cui essi vengono usati nei rispettivi ambienti e decidere cosa in particolare possa costituire un abuso. Senza una consapevolezza completa e contestuale dell’ambiente, compresa una continua vigilanza sugli eventi che possono emergere e svilupparsi all’interno della rete, i team IT rischiano di perdere di vista le attività pericolose che spesso rappresentano i prodromi del ransomware”, ha dichiarato John Shier, field CTO di Sophos.
Il report ha rilevato anche come, nonostante a febbraio le autorità avessero neutralizzato il sito e l’infrastruttura principali di LockBit, questo gruppo specializzato in ransomware sia ancora quello incontrato più frequentemente nelle analisi essendo responsabile di circa il 21% delle infezioni registrate nella prima metà del 2024.
Altri dati emersi dal nuovo Active Adversary Report:
- La causa originaria degli attacchi: proseguendo una tendenza apparsa inizialmente nell’Active Adversary Report for Tech Leaders, la compromissione delle credenziali è tuttora la più diffusa causa originaria degli attacchi, essendo responsabile del 39% dei casi analizzati; il dato è tuttavia in discesa rispetto al 56% del 2023
- Le violazioni di rete in cima alla lista del team MDR: quando si esaminano solamente i casi riportati dal team Sophos MDR, le violazioni di rete rappresentano il tipo di incidente più frequentemente incontrato
- Il dwell time di accorcia per i team MDR: nei casi gestiti dal team Sophos IR, il dwell time (l’intervallo di tempo che va dall’inizio di un attacco fino al suo rilevamento) è rimasto fermo a circa otto giorni. Con MDR, invece, il valore mediano è di un solo giorno per tutte le tipologie di incidente e di soli tre giorni per gli attacchi ransomware
- I server Active Directory colpiti più spesso stanno arrivando al termine della vita operativa: i cybercriminali hanno colpito più frequentemente le versioni 2019, 2016 e 2012 dei server Active Directory (AD). Tutte queste tre versioni sono uscite dal programma di supporto Mainstream di Microsoft e si trovano a un passo dallo stato end-of-life (EOL) senza più possibilità di ricevere patch salvo attraverso una assistenza a pagamento da parte di Microsoft stessa. Da aggiungere che il 21% dei server AD colpiti si trova già in una versione EOL
Per maggiori informazioni sui comportamenti, sui tool e sulle tecniche dei cybercriminali è possibile leggere “The Bite from Inside: The Sophos Active Adversary Report” al link https://news.sophos.com/en-us/2024/12/12/active-adversary-report-2024-12/ .