Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
I cybercriminali passano indisturbati più di 250 ore in ogni attacco
Una ricerca di Sophos pubblicata nell’ Adversary Playbook 2021 rivela che il tempo medio di permanenza dell’autore di un attacco nella rete è di 11 giorni.
Una nuova ricerca di Sophos rivela alcune informazioni interessanti, ma decisamente non confortanti, che riguardano gli attacchi a cui i team dell’azienda hanno dovuto rispondere nel corso del 2020 e del 2021. Il primo dato è che gli attacchi vengono in media rilevati dopo 11 giorni, un tempo più che sufficiente per perlustrare una rete aziendale in lungo e in largo, sottrarre dati e così via. Curioso il dato massimo: nel caso peggiore ci sono voluti 15 mesi per rilevare l’intrusione.
Come non è difficile immaginare, il tipo di attacco più frequente è il ransomware con l’81% dei casi. Spiccano anche gli attacchi sferrati a partire dal protocollo per il desktop remoto di Windows (RDP), usato poi come metodo per effettuare un attacco ransomware nel 69% dei casi.
L’analisi pubblicata da Sophos si basa sui dati di 81 incidenti di sicurezza, sui dati telemetrici di Sophos e sulle informazioni fornite dai team dell’azienda, Managed Threat Response e Sophos Rapid Response. Lo scopo è quello di aiutare gli esperti di sicurezza ad avere una visione di insieme dello scenario della cybersecurity e permettere una risposta più rapida ed efficace.
Oltre ai dati già elencati merita particolare attenzione l’incidenza nell’uso del Remote Desktop Protocol (RDP), usato nel 90% e sfruttato nel 69% dei casi per compiere movimenti laterali interni, cioè per permettere a un malintenzionato di muoversi all’interno della rete una volta trovato un punto di accesso. Questo perché la maggior parte delle protezioni applicate a RDP si concentrano a impedire gli attacchi dall’esterno, ma non proteggono altrettanto bene se il punto di accesso si trova già all’interno della rete.
Sembra esserci una correlazione fra i 5 strumenti più usati all’interno delle reti delle vittime. Secondo il report, se in un attacco viene usato PowerShell, Cobalt Strike è presente nel 58% dei casi, mentre PsExec nel 49%, Mimikatz nel 33% e GMER nel 19%. Cobalt Strike e PsExec vengono utilizzati insieme nel 27% degli attacchi, invece Mimikatz e PsExec sono presenti insieme nel 31% degli attacchi. La combinazione dei tre strumenti Cobalt Strike, PowerShell e PsExec ricorre nel 12% dei casi. Questi dati sono utili perché, nel caso in cui si rilevi uno strumenti fra quelli citati, è possibile mettere in campo più rapidamente contromisure contro gli altri, su base statistica.
Il ransomware, oltre a essere presente nell’81% dei casi analizzati, ha la particolarità di doversi palesare per poter servire alla sua funzione, per cui non stupisce che sia quello rilevato dalla sicurezza IT con maggiore frequenza, di solito proprio al momento dell’attivazione. Fra le altre tipologie di attacchi troviamo soprattutto esfiltrazione, cryptomining, Trojan bancari, wiper, dropper e pen test.
“Il panorama delle minacce sta diventando sempre più complesso, con attacchi sferrati da avversari dotati di grandi risorse e numerose competenze, dai cosiddetti “script kiddies” fino ai gruppi più esperti sostenuti da specifiche nazioni. Questo può rendere la vita difficile ai responsabili della sicurezza IT” commenta John Shier, senior security advisor di Sophos. “Nell’ultimo anno, i nostri team addetti a rispondere agli incidenti hanno fornito supporto volto a neutralizzare gli attacchi lanciati da più di 37 gruppi di attacco che hanno utilizzato più di 400 strumenti diversi. Molti di questi strumenti sono utilizzati anche dagli amministratori IT e dai professionisti della sicurezza per le loro attività quotidiane e di conseguenza individuare la differenza tra attività benigna e dannosa non è sempre facile. Con i cybercriminali che trascorrono una media di 11 giorni nella rete, implementando il loro attacco mentre si confondono con l’attività IT di routine, è fondamentale che i responsabili della sicurezza IT colgano le avvisaglie da tenere sotto osservazione. Uno dei principali segnali di allarme, per esempio, è quando uno strumento o un’attività legittima viene rilevata in un luogo inaspettato. Bisogna sempre tenere a mente che la tecnologia può fare molto ma, nel panorama delle minacce di oggi, potrebbe non essere sufficiente da sola. L’esperienza umana e la capacità di rispondere sono una parte vitale di qualsiasi soluzione di sicurezza”.
Condividi l'articolo
Qualcuno ha già craccato gli Apple AirTag sfruttando una debolezza dei chip
Ti presento STRRAT, il trojan che si finge un ransomware
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
