Il 90% degli attacchi analizzati ha visto l’utilizzo del Remote Desktop Protocol (RDP) e nel 69% dei casi, tale protocollo è stato sfruttato per compiere movimenti laterali interni. I dati di Sophos
E’ di 11 giorni (264 ore) il tempo medio di permanenza dell’autore di un attacco informatico nella rete presa di mira da criminali informatici, mentre il tempo più lungo durante il quale un’intrusione è andata avanti inosservata è stato pari a 15 mesi.
Sono i dati presenti nel nuovo report “Active Adversary Playbook 2021” di Sophos, il manuale che riassume quanto rilevato dalla nuova ricerca che analizza in dettaglio i comportamenti dei cybercriminali e le tecniche, gli strumenti e le procedure che gli esperti di sicurezza informatica, impegnati in prima linea nella caccia alle minacce, hanno dovuto affrontare nel 2020 e nei primi mesi del 2021.
L’obiettivo del manuale è supportare i responsabili della sicurezza informatica nel comprendere cosa facciano gli autori degli attacchi e come individuare tempestivamente, e proteggersi, dalle attività malevole sferrate contro la loro rete.
I dati sulla sicurezza informatica
Secondo lo studio il tempo medio di permanenza dell’autore di un attacco nella rete presa di mira è stato pari a 11 giorni. Significa che i cybercriminali hanno avuto 264 ore di tempo per svolgere attività malevole, come movimenti laterali, furto di credenziali, esfiltrazione di dati e molto altro.
Tenendo conto che alcune di queste attività possono essere svolte in pochi minuti o al massimo in qualche ora, e che spesso ciò avviene di notte o al di fuori del consueto orario lavorativo, è facile capire che, con 11 giorni a disposizione, i danni che potrebbero essere causati all’azienda sono molteplici e preoccupanti. Va altresì sottolineato che gli attacchi ransomware hanno un tempo di permanenza più breve rispetto a quelli di tipo stealth, perché il loro obiettivo è distruggere il più possibile.
Il 90% degli attacchi è stato RDP
Il 90% degli attacchi analizzati ha visto l’utilizzo del Remote Desktop Protocol (RDP) e nel 69% dei casi, tale protocollo è stato sfruttato per compiere movimenti laterali interni.
Le misure di sicurezza per RDP, come le VPN e l’autenticazione a più fattori, tendono a concentrarsi sulla protezione dei punti di accesso dall’esterno. Tuttavia, questi accorgimenti non funzionano se il cybercriminale è già all’interno della rete. L’uso di RDP per il movimento laterale interno è sempre più comune negli attacchi attivi, hands-on-keyboard, come quelli che vedono protagonista il ransomware.
L’analisi ha evidenziato interessanti correlazioni tra i 5 strumenti rilevati più di frequente nelle reti delle vittime: per esempio, quando in un attacco viene usato PowerShell, Cobalt Strike viene rilevato nel 58% dei casi, PsExec nel 49%, Mimikatz nel 33%, e GMER nel 19%. Cobalt Strike e PsExec vengono utilizzati insieme nel 27% degli attacchi, mentre Mimikatz e PsExec si presentano in coppia nel 31% degli attacchi. Infine, la combinazione di Cobalt Strike, PowerShell e PsExec ricorre nel 12% dei casi. Questo tipo di correlazione è molto importante in quanto la loro rilevazione rappresenta una sorta di avvertimento che consentirà di prendere consapevolezza dell’attacco imminente o di confermare lo svolgimento di un attacco in corso.
Ransomware rilevato nell’81%
Il ransomware è stato rilevato nell’81% dei casi analizzati da Sophos
il momento in cui il ransomware colpisce è spesso quello in cui l’attacco diventa visibile al team di sicurezza IT. Non è quindi una sorpresa che la maggior parte degli incidenti a cui Sophos ha risposto avessero per protagonista proprio il ransomware. Tra le altre tipologie di attacchi analizzati da Sophos anche quelli di esfiltrazione, di cryptomining, Trojan bancari, wiper, dropper, pen test ecc…