Non solo gli attacchi informatici sono diventati sempre più sofisticati e insidiosi, ma sono anche diventati “nascosti”: così silenziosi che possono volerci fino a 260 ore (circa 11 giorni) per individuarne uno. Lo rivela il nuovo rapporto di ricerca Sophos “Active Adversary Playbook 2021”, un vero e proprio vademecum che delinea il comportamento dei cybercriminali e le tecnologie che gli esperti di cybersecurity hanno dovuto scoprire ed esplorare nel corso del 2020 e nei primi mesi del 2021. E che gli hacker siano sempre più capaci e sofisticati è dimostrato anche dal fatto che molti attacchi, appunto, richiedono un sacco di tempo per essere individuati. Secondo i dati raccolti durante l’analisi, è emerso che il tempo medio di permanenza dell’aggressore nella rete di destinazione è stato di 11 giorni (264 ore) e la durata massima dell’intrusione è stata di 15 mesi.
La tipologia e la modalità degli attacchi
Il 90% degli attacchi analizzati ha visto l’utilizzo del Remote Desktop Protocol (RDP) e nel 69% dei casi, tale protocollo è stato sfruttato per compiere movimenti laterali interni. Le misure di sicurezza per RDP, come le VPN e l’autenticazione a più fattori, tendono a concentrarsi sulla protezione dei punti di accesso dall’esterno. Tuttavia, questi accorgimenti non funzionano se il cybercriminale è già all’interno della rete. L’uso di RDP per il movimento laterale interno è sempre più comune negli attacchi attivi, hands-on-keyboard, come quelli che vedono protagonista il ransomware. Il ransomware è stato rilevato nell’81% dei casi analizzati: il momento in cui il ransomware colpisce è spesso quello in cui l’attacco diventa visibile al team di sicurezza IT. Non è quindi una sorpresa che la maggior parte degli incidenti a cui Sophos ha risposto avessero per protagonista proprio il ransomware. Tra le altre tipologie di attacchi analizzati anche quelli di esfiltrazione, di cryptomining, Trojan bancari, wiper, dropper, pen test ecc…
Il panorama delle minacce sempre più complesso
“Il panorama delle minacce sta diventando sempre più complesso, con attacchi sferrati da avversari dotati di grandi risorse e numerose competenze, dai cosiddetti “script kiddies” fino ai gruppi più esperti sostenuti da specifiche nazioni” ha detto John Shier, senior security advisor di Sophos. “Questo può rendere la vita difficile ai responsabili della sicurezza IT. Nell’ultimo anno, i nostri team addetti a rispondere agli incidenti hanno fornito supporto volto a neutralizzare gli attacchi lanciati da più di 37 gruppi di attacco che hanno utilizzato più di 400 strumenti diversi. Molti di questi strumenti sono utilizzati anche dagli amministratori IT e dai professionisti della sicurezza per le loro attività quotidiane e di conseguenza individuare la differenza tra attività benigna e dannosa non è sempre facile. Con i cybercriminali che trascorrono una media di 11 giorni nella rete, implementando il loro attacco mentre si confondono con l’attività IT di routine, è fondamentale che i responsabili della sicurezza IT colgano le avvisaglie da tenere sotto osservazione. Uno dei principali segnali di allarme, per esempio, è quando uno strumento o un’attività legittima viene rilevata in un luogo inaspettato. Bisogna sempre tenere a mente che la tecnologia può fare molto ma, nel panorama delle minacce di oggi, potrebbe non essere sufficiente da sola. L’esperienza umana e la capacità di rispondere sono una parte vitale di qualsiasi soluzione di sicurezza”.
