Sophos ha rilasciato i dati emersi da “Active Adversary Report for Tech Leaders 2023”, un’analisi approfondita sui comportamenti e sugli strumenti relativi agli attacchi avvenuti nel primo semestre del 2023.
Dopo aver analizzato le casistiche di Sophos Incident Response (IR) da gennaio a luglio 2023, Sophos X-Ops ha calcolato che il tempo mediano di permanenza dell’autore di un attacco informatico – ovvero quello che intercorre dall’inizio di un attacco fino al suo rilevamento – è sceso da dieci a otto giorni per tutti gli attacchi e a cinque giorni nel caso degli attacchi ransomware.
Nel 2022, il tempo mediano di permanenza era sceso da 15 a 10 giorni.
Non solo: Sophos X-Ops ha rilevato anche che occorre mediamente meno di un giorno – circa 16 ore – prima che il cybercriminale riesca a raggiungere Active Directory (AD), uno degli asset più sensibili di molte aziende. AD gestisce solitamente le identità e l’accesso alle risorse all’interno di un’organizzazione, il che significa che i malintenzionati possono sfruttare AD per elevare facilmente i propri privilegi sul sistema e compiere una vasta gamma di attività illecite.
“Attaccare l’infrastruttura Active Directory di un’azienda è una scelta sensata da un punto di vista offensivo. AD è normalmente il sistema più potente e privilegiato di una rete e fornisce accesso a sistemi, applicazioni, risorse e dati che gli attaccanti possono sfruttare nelle loro attività. Quando un cybercriminale riesce a ottenere il controllo di AD, può controllare l’intera organizzazione. L’impatto, l’escalation e la difficoltà di ripristino da un attacco contro Active Directory sono i motivi per cui questo sistema viene messo sotto tiro”, ha dichiarato John Shier, field CTO di Sophos.“Assumere il controllo del server Active Directory nel corso dell’attacco assicura diversi vantaggi ai malintenzionati, che possono trattenersi all’interno del sistema in attesa di decidere la mossa successiva e, una volta pronti, scatenarsi nella rete della vittima senza alcun ostacolo. Il completo ripristino in seguito alla compromissione del dominio può essere un lavoro lungo e difficile. Un attacco del genere danneggia le fondamenta di sicurezza sulle quali si basa l’infrastruttura di un’azienda. Molto spesso il successo di un attacco contro AD costringe i team responsabili della sicurezza a ripartire da zero”.
Il tempo di permanenza è diminuito anche nel caso degli attacchi ransomware, la tipologia di attacco maggiormente diffusa tra le casistiche IR analizzate – responsabile del 69% degli eventi – la cui media si è ridotta a soli cinque giorni. Nell’81% degli attacchi ransomware, il payload finale è stato lanciato al di fuori del normale orario di lavoro; negli altri casi, solo cinque si sono verificati durante una giornata lavorativa.
Il numero degli attacchi rilevati è aumentato procedendo lungo i giorni della settimana, in particolare per quanto riguarda gli attacchi ransomware: quasi metà di essi (43%) è stata rilevata nei giorni di venerdì o sabato.
“In un certo senso siamo vittime del nostro stesso successo. Con la diffusione di tecnologie come XDR e di servizi come MDR, si anticipa la nostra capacità di rilevare gli attacchi. Ridurre i tempi di rilevamento porta a una risposta più rapida, il che riduce la finestra operativa a disposizione degli attaccanti. Nel contempo i cybercriminali hanno perfezionato il loro modo di agire, specialmente i più esperti e dotati di risorse tra gli affiliati alle gang ransomware, continuando a velocizzare gli attacchi diretti contro difese sempre migliori.
Ciò tuttavia non significa che siamo collettivamente più al sicuro, come dimostra la riduzione dei tempi di permanenza degli attacchi non ransomware. I cybercriminali continuano a entrare nelle nostre reti e, se non ci sono urgenze, tendono a permanervi. Ma nessun tool al mondo può salvarti se non presti attenzione. Per rendere difficile la vita degli attaccanti occorrono sia i tool appropriati che un monitoraggio continuo e proattivo. Qui è dove i servizi MDR possono colmare la distanza tra attaccanti e difensori, perché ci siamo noi a guardare anche se tu sei impegnato altrove”, ha concluso Shier.
Lo studio Sophos Active Adversary Report for Business Leaders è basato sui dati Sophos Incident Response (IR) prodotti da interventi effettuati all’interno di 25 settori in tutto il mondo da gennaio a luglio 2023. Le aziende colpite erano situate in 33 diversi Paesi di sei continenti. L’88% dei casi riguarda organizzazioni con meno di 1.000 dipendenti.
The Sophos Active Adversary Report for Tech Leaders fornisce ai professionisti della sicurezza insight pratici e threat intelligence con cui migliorare l’operatività delle strategie di protezione.
Per approfondire i comportamenti, i tool e le tecniche degli attaccanti è possibile leggere “Time Keeps on Slippin’ Slippin’ Slippin’: The 2023 Active Adversary Report for Tech Leaders” su Sophos.com.
Per approfondire:
- Come cambiano le metodologie di attacco nel 2023 Active Adversary Report for Business Leaders, basato sull’analisi di 150 casi di incident response Sophos
- Come gli esperti di IT e sicurezza informatica vedono lo scenario in “The State of Cybersecurity 2023: The Business Impact of Adversaries on Defenders”
- Le tendenze che impatteranno la cybersecurity nel 2023 Threat Report
- Gli ultimi dati e ricerche relative al ransomware a cura di Sophos, nel Ransomware Threat Intelligence Center