Sophos: cresce la permanenza dei cybercriminali nelle reti delle vittime

Giu 07, 2022 Redazione news Attacchi, News, RSS 0

---

La ricerca Sophos Active Adversary Playbook 2022 rivela che i il tempo di permanenza dei cybercriminali nelle reti delle loro vittime
è aumentato del 36%

Sophos ha pubblicato oggi il suo report “Active Adversary Playbook 2022”, che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response nel corso del 2021. I dati emersi dalla ricerca indicano un aumento del 36% nel tempo di permanenza dei cybercriminali all’interno dei sistemi colpiti con un valore mediano di 15 giorni rispetto agli 11 del 2020.

Sottolineano inoltre l’impatto delle vulnerabilità ProxyShell all’interno di Microsoft Exchange, che Sophos ritiene siano sfruttate da alcuni IAB (Initial Access Broker) per violare le reti e rivenderne quindi l’accesso ad altri cyber criminali.

“Il mondo del cybercrimine è diventato incredibilmente variegato e specializzato. Gli Initial Access Broker (che forniscono al comparto della criminalità informatica l’accesso ai sistemi IT delle aziende) hanno sviluppato una vera e propria industria che viola un bersaglio, ne esplora l’ambiente IT o installa una backdoor, e quindi rivende l’accesso alle gang che si occupano di ransomware” – spiega John Shier, senior security advisor di Sophos.

“In questo scenario sempre più dinamico e specializzato, può essere difficile per le aziende tenere il passo con l’evoluzione dei tool e degli approcci usati dai cybercriminali. È essenziale che chi si difende sappia cosa cercare in ogni stadio della sequenza di attacco, così da poter rilevare e neutralizzare i tentativi di violazione più rapidamente possibile.” – aggiunge.

La ricerca mostra anche come il tempo di permanenza degli intrusi sia maggiore negli ambienti IT delle aziende più piccole: circa 51 giorni nelle realtà fino a 250 dipendenti contro i 20 giorni in quelle da 3.000 a 5.000 dipendenti.

Ha riscontrato anche che il valore mediano del tempo di permanenza dei cybercriminali prima di essere scoperti è maggiore per le intrusioni “stealth” che non scatenano attacchi evidenti come il ransomware, e per le piccole aziende e i segmenti economici minori che possiedono meno risorse dedicate alla sicurezza IT.

Tempi di permanenza più lunghi e punti di accesso aperti lasciano le aziende esposte a molteplici attacchi. Sono emerse prove di casi in cui la stessa azienda era soggetta agli attacchi di più avversari come IAB, gang specializzate in ransomware, cryptominer e occasionalmente anche operatori legati a molteplici ransomware.

Un altro dato emerso dalla ricerca è che, nonostante una diminuzione nell’uso di Remote Desktop Protocol (RDP) per l’accesso esterno, gli attaccanti ne hanno aumentato l’utilizzo a scopo di movimento laterale interno. Nel 2020 il RDP veniva utilizzato per attività esterne nel 32% dei casi analizzati, dato sceso al 13% nel 2021.

Per quanto questo cambiamento sia benvenuto e suggerisca una miglior gestione delle superfici di attacco esterne da parte delle aziende, i cybercriminali continuano ad abusare di RDP per i loro movimenti laterali interni. Sophos ha scoperto che l’uso di RDP per i movimenti laterali interni è avvenuto nell’82% dei casi analizzati nel 2021 contro il 69% del 2020

Lo studio ha evidenziato anche le combinazioni comuni di tool utilizzati per attaccare, che sono un segnale di allarme di attività indesiderate.

Per esempio, le analisi degli incidenti di sicurezza mostrano che nel 2021 sono stati osservati script PowerShell e script malevoli non-PowerShell insieme nel 64% dei casi, PowerShell e Cobalt Strike insieme nel 56% dei casi e PowerShell e PsExec insieme nel 51% dei casi. Il rilevamento di tali correlazioni può servire come allarme precoce di attacco imminente o come conferma di un attacco in corso.

“I segnali che dovrebbero mettere in allarme i responsabili della sicurezza IT comprendono il rilevamento di un tool, di una combinazione di tool o di attività in un punto inaspettato della rete o in un momento inaspettato” – spiega ancora Shier.

Il 50% degli incidenti ransomware osservati ha comportato l’esfiltrazione di dati. Il 73% degli incidenti in cui Sophos è intervenuta nel 2021 ha riguardato casi di ransomware. Di questi, il 50% ha comportato anche l’esfiltrazione di dati.

L’esfiltrazione è spesso l’ultima fase di un attacco prima che venga attivato il ransomware e le analisi degli incidenti hanno mostrato un intervallo medio tra i due eventi di 4,28 giorni con un valore mediano di 1,84 giorni.

Per quanto riguarda i cyber criminali più attivi, lo studio mostra che Conti è stata la gang ransomware più prolifica tra quelle osservate nel 2021, responsabile del 18% degli incidenti complessivi.

Il ransomware REvil è stato legato a un incidente su 10, mentre altre diffuse famiglie di ransomware sono state DarkSide, il RaaS colpevole dell’attacco a Colonial Pipeline negli USA, e Black KingDom, una delle “nuove” famiglie di ransomware comparsa nel marzo 2021 sulla scia della vulnerabilità ProxyLogon.

Sono stati identificati 41 differenti operatori di ransomware nei 144 incidenti coperti dall’analisi; di essi, 28 sono nuovi gruppi emersi per la prima volta nel 2021. Diciotto gang responsabili di incidenti nel 2020 sono scomparse dall’elenco relativo al 2021.

“Occorre applicare le patch per risolvere bug critici, specialmente nel software più diffuso e, come priorità, rafforzare la sicurezza dei servizi di accesso remoto. Finché non verranno chiusi i punti di ingresso esposti e verrà sradicato tutto quello che gli attaccanti hanno fatto per stabilire e mantenere l’accesso, chiunque sarà in grado di entrare insieme a loro, e probabilmente lo farà” – ha consigliato Shier.

---

• Ransomware, RDP, Sophos Active Adversary Playbook 2022

---

---