L'analisi dettagliata degli attacchi reali contro le aziende svela una nuova truffa con cui i criminali informatici mascherano la loro durata di permanenza e ostacolano così una rapida risposta difensiva. Il nuovo Sophos Active Adversary Report svela i trucchi utilizzati dai criminali informatici.
Sophos ha pubblicato il suo nuovo Active Adversary Report. Particolarmente sorprendente: nel 42% degli attacchi analizzati mancavano i protocolli telemetrici e nell'82% dei casi i criminali hanno disattivato o cancellato attivamente i dati telemetrici per nascondere i loro attacchi. Inoltre, la durata della permanenza nel sistema dirottato continua a diminuire, continuando la tendenza dell’ultimo rapporto.
Rapporto avversario attivo
“Avversario attivo” è un termine tecnico che descrive il tipo di strategia di attacco su un sistema. A differenza degli attacchi puramente tecnici e automatizzati, in questo tipo di attacco entra in gioco il fattore umano: i criminali informatici siedono attivamente alla tastiera e reagiscono individualmente alle circostanze in un sistema infiltrato. Questi viaggi furtivi sono ulteriormente supportati dalle lacune nella telemetria, poiché riducono la visibilità necessaria nelle reti e nei sistemi. Un grosso problema, soprattutto perché il tempo impiegato dagli aggressori - dall'accesso iniziale al rilevamento - diminuisce continuamente e quindi anche il tempo per la reazione difensiva è più breve.
“Il tempo è il fattore critico nella risposta a una minaccia attiva. La fase che intercorre tra la scoperta del primo accesso e la completa disinserzione della situazione dovrebbe essere la più breve possibile. Quanto più i criminali si spingono nella catena d'attacco, tanto maggiori sono i problemi che si riscontrano nel centro della difesa. I dati di telemetria mancanti aumentano i tempi di ripristino, cosa che la maggior parte delle organizzazioni non può permettersi. Ecco perché una registrazione completa e precisa è molto importante. "Ma vediamo che troppo spesso le organizzazioni non dispongono dei dati di cui hanno effettivamente bisogno", afferma John Shier, Field CTO di Sophos, a proposito del problema della telemetria.
Nel sistema da meno di cinque giorni: gli attacchi ransomware rapidi rappresentano il 38%.
Nell’Active Adversary Report, Sophos classifica gli attacchi ransomware che durano fino a cinque giorni come “attacchi rapidi”. Nei casi esaminati erano il 38 per cento. Gli “attacchi lenti” sono quelli che a volte durano molto più di cinque giorni. Erano il 62 per cento. Anche se gli attacchi "rapidi" sono ancora meno comuni, la loro proporzione nel quadro generale è in costante aumento - e per ragioni: gli aggressori reagiscono ai migliori metodi di rilevamento nelle aziende, che lasciano loro meno tempo e anche i criminali informatici sono ora facilmente molto esperti . "Come con qualsiasi processo, la ripetizione e la pratica tendono a produrre risultati migliori", afferma John Shier. “Quest’anno il ransomware moderno compie dieci anni, un tempo lungo e ricco di esempi che trasformano sempre più criminali in esperti. Uno sviluppo tanto più pericoloso in quanto molte strategie di difesa non riuscivano a tenere il passo”.
Esaminando i tipi veloci e lenti, è stata riscontrata una piccola variazione negli strumenti, nelle tecniche e nei LOLBin (file binari viventi fuori terra) utilizzati dagli aggressori. Ciò suggerisce che i difensori del sistema attaccato non hanno bisogno di reinventare le proprie strategie di difesa man mano che il tempo di permanenza diminuisce. Tuttavia, le aziende devono essere consapevoli che attacchi rapidi e la mancanza di telemetria possono ostacolare tempi di risposta rapidi e successivamente portare a interruzioni significativamente maggiori delle operazioni aziendali.
Nuove misure difensive non assolutamente necessarie
“I criminali informatici sono pigri, apportano modifiche solo se ciò significa che possono raggiungere meglio il loro obiettivo. Gli aggressori non modificano ciò che accade, anche se ciò significa che vengono scoperti più rapidamente dopo l’infiltrazione. Questa è una buona notizia per le organizzazioni perché non devono cambiare radicalmente la loro strategia difensiva solo perché gli aggressori stanno mettendo il turbo. Le misure difensive che rilevano gli attacchi rapidi sono efficaci per tutti gli attacchi, indipendentemente dal tempo. Ciò include anche una telemetria completa, una protezione solida per tutte le aree e un monitoraggio onnipresente”, sottolinea Shier. “La chiave è aumentare la resistenza. Se rendi le cose più difficili per gli attaccanti e prolunghi ogni fase dell'attacco, hai più tempo per reagire.
Il Sophos Active Adversary Report si basa su 232 casi di risposta agli incidenti dal 1 gennaio 2022 al 30 giugno 2023 in 25 settori. Le organizzazioni interessate erano situate in 34 paesi diversi in sei continenti. L'83% dei casi ha interessato aziende con meno di 1.000 dipendenti. Il rapporto fornisce informazioni utili su come i professionisti della sicurezza possono progettare in modo ottimale le loro strategie difensive.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.