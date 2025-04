Pubblicato oggi lo studio 2025 Sophos Active Adversary Report che analizza nel dettaglio i comportamenti e le tecniche degli autori dei cyberattacchi così come emergono da oltre 400 casistiche MDR (Managed Detection Response) e IR (Incident Response) affrontate nel corso del 2024. Il report ha rilevato come la percentuale di aziende colpite da cyberattacchi che non disponevano di autenticazione multifattore (MFA) è pressoché triplicata dal 2022 al 2024 passando dal 22% al 63%: un dato a cui si affianca per il secondo anno consecutivo la preponderanza (41%) dei casi di credenziali compromesse quale causa primaria dei cyberattacchi.

L’abuso di credenziali compromesse appare più evidente nel punto di accesso iniziale più frequentemente sfruttato: i servizi remoti esterni. Nel 71% dei casi i cybercriminali sono infatti riusciti a violare le reti delle loro vittime attraverso servizi remoti esterni inclusi i dispositivi edge, come firewall e VPN. Nel 79% di questi casi gli autori degli attacchi hanno potuto disporre dei servizi remoti esterni grazie all’impiego di credenziali compromesse.

Capire la velocità degli attacchi

Nell’analisi delle indagini MDR e IR, il team Sophos X-Ops ha esaminato in particolare le casistiche di ransomware, esfiltrazione di dati ed estorsione per misurare la velocità con cui i cybercriminali si sono mossi attraverso le varie fasi degli attacchi. In queste tre tipologie di casistica, il tempo medio trascorso fra l’inizio dell’attacco e l’esfiltrazione è stato di sole 72,98 ore (3,04 giorni), con un intervallo mediano di 2,7 ore tra l’esfiltrazione e il rilevamento dell’attacco.

“La sicurezza passiva non è più sufficiente. Anche se la prevenzione è essenziale, una risposta rapida è fondamentale. Le aziende devono monitorare attivamente le loro reti e agire rapidamente in base ai dati telemetrici osservati. Gli attacchi coordinati sferrati da avversari motivati richiedono una difesa altrettanto coordinata. Per molte aziende questo significa combinare conoscenze interne specifiche con capacità di rilevamento e risposta guidate da esperti. Il nostro studio conferma come le aziende dotate di monitoraggio proattivo riescano a rilevare gli attacchi in tempi più brevi e conseguire risultati migliori”, ha dichiarato John Shier, field CISO.

Altri dati emersi dallo studio 2025 Sophos Active Adversary Report:

I cybercriminali riescono ad assumere il controllo di un sistema in sole 11 ore: l’intervallo mediano tra l’azione di attacco iniziale e il primo tentativo (spesso riuscito) di violazione di Active Directory (AD), indiscutibilmente uno degli asset più importanti di qualsiasi rete Windows, è di sole 11 ore. In caso di successo gli attaccanti possono assumere molto più facilmente il controllo dell’intera azienda.

Il tempo di permanenza è sceso a soli 2 giorni, grazie soprattutto alle attività MDR: nel 2024 il tempo di permanenza o dwell time – quello che intercorre fra l'inizio di un attacco e il suo rilevamento – è sceso da 4 a 2 giorni, soprattutto per l'aggiunta delle casistiche MDR al dataset esaminato dallo studio.

nel 2024 il tempo di permanenza o dwell time – quello che intercorre fra l’inizio di un attacco e il suo rilevamento – è sceso da 4 a 2 giorni, soprattutto per l’aggiunta delle casistiche MDR al dataset esaminato dallo studio. Tempo di permanenza nelle casistiche IR: stabile a 4 giorni per gli attacchi ransomware e 11,5 giorni per tutte le altre casistiche.

stabile a 4 giorni per gli attacchi ransomware e 11,5 giorni per tutte le altre casistiche. Tempo di permanenza nelle casistiche MDR : pari a soli 3 giorni per le casistiche ransomware e solo 1 giorno per le altre, a indicare come i team MDR siano in grado di rilevare e affrontare più rapidamente gli attacchi.

: pari a soli 3 giorni per le casistiche ransomware e solo 1 giorno per le altre, a indicare come i team MDR siano in grado di rilevare e affrontare più rapidamente gli attacchi. I gruppi ransomware fanno gli straordinari: nel 2024, l’84% del codice binario ransomware è stato rilasciato al di fuori del normale orario d’ufficio delle vittime.

nel 2024, l’84% del codice binario ransomware è stato rilasciato al di fuori del normale orario d’ufficio delle vittime. Prosegue il predominio di RDP: l’abuso di Remote Desktop Protocol è stato rilevato nell’84% delle casistiche MDR/IR, rendendolo il tool Microsoft sfruttato più frequentemente per i cyberattacchi.

È possibile consultare It Takes Two: The 2025 Sophos Active Adversary Report su qui.