Nel suo Active Adversary Report, Sophos descrive come e con quali criminali informatici hanno effettuato il maggior numero di attacchi nel 2022. Il risultato scioccante: hanno usato più di 500 diversi strumenti e tattiche. È così che il ransomware continua a crescere.
Sophos ha pubblicato il suo Active Adversary Playbook for Business Leaders. Il rapporto fornisce uno sguardo approfondito ai comportamenti in evoluzione e alle tecniche di attacco che gli aggressori impiegheranno nel 2022. Per questo report sono stati analizzati i dati di oltre 150 casi di Sophos Incident Response. I ricercatori di Sophos hanno identificato più di 500 strumenti e tecniche unici, tra cui 118 che vivono fuori dai binari terrestri (LOLBins). A differenza del malware, i LOLBins sono file eseguibili che possono essere trovati legalmente sui sistemi operativi. Ciò rende molto più difficile per i difensori bloccarli quando gli aggressori li utilizzano per attività dannose.
Vulnerabilità senza patch – Gateway #1
🔎 Gli aggressori spesso penetrano nei sistemi tramite vulnerabilità senza patch (Immagine: Sophos).
Inoltre, Sophos ha scoperto che le vulnerabilità prive di patch sono la ragione numero uno per cui gli aggressori ottengono l'accesso iniziale ai sistemi presi di mira. Nella metà delle indagini, gli aggressori hanno sfruttato le vulnerabilità di ProxyShell e Log4Shell (apparse per la prima volta nel 2021) per infiltrarsi nelle aziende. La seconda ragione più comune per gli attacchi è stata la compromissione delle credenziali.
"Se gli aggressori non possono entrare, accedono. La situazione della minaccia è ormai diventata così estesa e complessa che non esistono più punti di ingresso chiaramente definibili. La maggior parte delle aziende oggi non ha più la possibilità di respingere gli attacchi da sola. Tuttavia, esistono strumenti e servizi che possono alleggerire parte del carico di difesa per le organizzazioni in modo che possano concentrarsi sulle proprie competenze chiave", ha affermato John Shier, Field CTO Commercial di Sophos.
Il ransomware continua a dominare
🔎 Il ransomware rimane la minaccia n. 1 (Immagine: Sophos).
Più di due terzi degli attacchi esaminati dal Sophos Incident Response Team (68%) consistevano in ransomware. Ciò conferma che il ransomware rimane una delle minacce più diffuse per le aziende. Il ransomware è stato anche responsabile di quasi tre quarti delle indagini di risposta agli incidenti di Sophos negli ultimi tre anni.
Diminuisce il tempo di permanenza degli aggressori nei sistemi aziendali
Mentre il ransomware domina ancora il panorama delle minacce, i tempi di permanenza degli aggressori sono scesi da 2022 a 15 giorni per tutti i tipi di attacco nel 10. Per i casi di ransomware, il tempo di permanenza è diminuito da 11 a 9 giorni, mentre la diminuzione per gli attacchi non ransomware è stata ancora maggiore. Per questi ultimi la durata del soggiorno è scesa da 34 giorni nel 2021 a soli 11 giorni nel 2022. A differenza degli anni precedenti, tuttavia, non ci sono differenze significative nella durata del soggiorno tra aziende di diverse dimensioni o settori.
"Le aziende che hanno implementato con successo difese a più livelli con un monitoraggio costante ottengono risultati migliori in termini di gravità degli attacchi", ha affermato Shier. “L'effetto collaterale di difese migliorate significa che gli aggressori devono essere più veloci per eseguire i loro attacchi. Gli attacchi più veloci richiedono quindi un rilevamento anticipato. La corsa tra aggressori e difensori continuerà a intensificarsi e coloro che non riescono a condurre una sorveglianza proattiva subiranno le maggiori conseguenze".
Contesto della relazione
🔎 Il tempo di permanenza di un intruso sulla rete è leggermente diminuito nel 2022 (Immagine: Sophos).
Il Sophos Active Adversary Report for Business Leaders si basa su 152 indagini di Incident Response (IR) condotte in tutto il mondo, in 22 settori. Le aziende studiate si trovano in 31 paesi diversi tra cui USA e Canada, Regno Unito, Germania, Svizzera, Italia, Austria, Finlandia, Belgio, Svezia, Romania, Spagna, Australia, Nuova Zelanda, Singapore, Giappone, Hong Kong, India, Tailandia, Filippine, Qatar, Bahrein, Arabia Saudita, Emirati Arabi Uniti, Kenya, Somalia, Nigeria, Sud Africa, Messico, Brasile e Colombia. I settori più rappresentati sono il manifatturiero con il 20%, seguito dalla sanità (12%), dall'istruzione (9%) e dal commercio al dettaglio (8%).
Il Sophos Active Adversary Report for Business Leaders fornisce alle organizzazioni i dati e gli insight utili sulle minacce di cui hanno bisogno per ottimizzare le strategie e le difese di sicurezza.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.