La nuova ricerca Sophos resa disponibile nell’ “Adversary Playbook 2021” svela che il 69% degli attacchi a cui Sophos ha dovuto rispondere nel 2020 sfruttavano il Remote Desktop Protocol (RDP) per muoversi lateralmente all’interno delle reti colpite

Milano — Maggio 18, 2021 —

Sophos, leader globale nella sicurezza informatica di ultima generazione,  presenta “Active Adversary Playbook 2021,” il manuale che riassume quanto rilevato dalla nuova ricerca che analizza in dettaglio i comportamenti dei cybercriminali e le tecniche, gli strumenti e le procedure che gli esperti di Sophos, impegnati in prima linea nella caccia alle minacce, hanno dovuto affrontare nel 2020 e nei primi mesi del 2021.

Quanto emerso mostra che il tempo medio di permanenza dell’autore di un attacco nella rete presa di mira è stato di 11 giorni (264 ore) mentre il tempo più lungo durante il quale un’intrusione è andata avanti inosservata è stato pari a 15 mesi.

Il ransomware è stato protagonista dell’81% degli incidenti di sicurezza e del 69% degli attacchi sferrati sfruttando il remote desktop protocol (RDP) per muoversi lateralmente nella rete.

Il manuale stilato si basa sulla telemetria di Sophos e sull’analisi di 81 incidenti di sicurezza, oltre ai dati forniti dal team di Managed Threat Response (MTR) Sophos e dagli esperti in risposta agli attacchi del team Sophos Rapid Response.

L’obiettivo è supportare i responsabili della sicurezza informatica nel comprendere cosa facciano gli autori degli attacchi e come individuare tempestivamente, e proteggersi, dalle attività malevole sferrate contro la loro rete.

Tra i dati più rilevanti emersi:

  • Il tempo medio di permanenza dell’autore di un attacco nella rete presa di mira è stato pari a 11 giorni –  per farsi un’idea di ciò che comporta, significa che i cybercriminali hanno avuto 264 ore di tempo per svolgere attività malevole, come movimenti laterali, furto di credenziali, esfiltrazione di dati e molto altro…Tenendo conto che alcune di queste attività possono essere svolte in pochi minuti o al massimo in qualche ora, e che spesso ciò avviene di notte o al di fuori del consueto orario lavorativo, è facile capire che, con 11 giorni a disposizione, i danni che potrebbero essere causati all’azienda sono molteplici e preoccupanti. Va altresì sottolineato che gli attacchi ransomware hanno un tempo di permanenza più breve rispetto a quelli di tipo stealth, perché il loro obiettivo è distruggere il più possibile.

 

  • Il 90% degli attacchi analizzati ha visto l’utilizzo del Remote Desktop Protocol (RDP) e nel 69% dei casi, tale protocollo è stato sfruttato per compiere movimenti laterali interni. Le misure di sicurezza per RDP, come le VPN e l'autenticazione a più fattori, tendono a concentrarsi sulla protezione dei punti di accesso dall’esterno. Tuttavia, questi accorgimenti non funzionano se il cybercriminale è già all'interno della rete. L'uso di RDP per il movimento laterale interno è sempre più comune negli attacchi attivi, hands-on-keyboard, come quelli che vedono protagonista il ransomware.
  • L’analisi ha evidenziato interessanti correlazioni tra i 5 strumenti rilevati più di frequente nelle reti delle vittime: per esempio, quando in un attacco viene usato PowerShell, Cobalt Strike viene rilevato nel 58% dei casi, PsExec nel 49%, Mimikatz nel 33%, e GMER nel 19%. Cobalt Strike e PsExec vengono utilizzati insieme nel 27% degli attacchi, mentre Mimikatz e PsExec si presentano in coppia nel 31% degli attacchi. Infine, la combinazione di Cobalt Strike, PowerShell e PsExec ricorre nel 12% dei casi. Questo tipo di correlazione è molto importante in quanto la loro rilevazione rappresenta una sorta di avvertimento che consentirà di prendere consapevolezza dell’attacco imminente o di confermare lo svolgimento di un attacco in corso.
  • Il ransomware è stato rilevato nell’81% dei casi analizzati da Sophos: il momento in cui il ransomware colpisce è spesso quello in cui l’attacco diventa visibile al team di sicurezza IT.  Non è quindi una sorpresa che la maggior parte degli incidenti a cui Sophos ha risposto avessero per protagonista proprio il ransomware. Tra le altre tipologie di attacchi analizzati da Sophos anche quelli di esfiltrazione, di cryptomining, Trojan bancari, wiper, dropper, pen test ecc…
Anatomy of an active attack

“Il panorama delle minacce sta diventando sempre più complesso, con attacchi sferrati da avversari dotati di grandi risorse e numerose competenze, dai cosiddetti “script kiddies” fino ai gruppi più esperti sostenuti da specifiche nazioni. Questo può rendere la vita difficile ai responsabili della sicurezza IT" commenta John Shier, senior security advisor di Sophos. "Nell'ultimo anno, i nostri team addetti a rispondere agli incidenti hanno fornito supporto volto a neutralizzare gli attacchi lanciati da più di 37 gruppi di attacco che hanno utilizzato più di 400 strumenti diversi. Molti di questi strumenti sono utilizzati anche dagli amministratori IT e dai professionisti della sicurezza per le loro attività quotidiane e di conseguenza individuare la differenza tra attività benigna e dannosa non è sempre facile. Con i cybercriminali che trascorrono una media di 11 giorni nella rete, implementando il loro attacco mentre si confondono con l'attività IT di routine, è fondamentale che i responsabili della sicurezza IT colgano le avvisaglie da tenere sotto osservazione. Uno dei principali segnali di allarme, per esempio, è quando uno strumento o un'attività legittima viene rilevata in un luogo inaspettato. Bisogna sempre tenere a mente che la tecnologia può fare molto ma, nel panorama delle minacce di oggi, potrebbe non essere sufficiente da sola. L'esperienza umana e la capacità di rispondere sono una parte vitale di qualsiasi soluzione di sicurezza". 
Altri argomenti trattati in questo manuale includono le tattiche e le tecniche che più probabilmente segnalano una minaccia attiva e giustificano un'indagine più approfondita, i primi segni di attacco, gli stager più diffusi, i tipi di minaccia e gli artefatti dannosi e altro ancora.

Top adversary groups seen in 2020
Top 15 tools used by attackers

Ulteriori informazioni sui comportamenti degli hacker e sulle tecniche, gli strumenti e le procedure adottate sono disponibili leggendo: Sophos Active Adversary Playbook 2021 nella sezione Sophos News.

Informazioni su Sophos

Sophos, leader mondiale nelle soluzioni di sicurezza innovative per neutralizzare i cyberattacchi, mette a disposizione delle aziende un’ampia gamma di soluzioni di sicurezza per endpoint, network, email e cloud al fine di supportarle nella lotta ai cyberattacchi. In quanto uno dei principali provider di cybersecurity, Sophos protegge oltre 500.000 realtà e più di 100 milioni di utenti a livello globale da potenziali minacce, ransomware, phishing, malware e altro. I servizi e le soluzioni di Sophos vengono gestiti attraverso la console Sophos Central, basata su cloud, e si basano su Sophos X-Ops, l'unità di threat intelligence cross-domain dell'azienda. Sophos X-Ops ottimizza l’intero ecosistema adattivo di cybersecurity di Sophos, che include un data lake centralizzato che si avvale di una ricca serie di API aperti, resi disponibili ai clienti, ai partner, agli sviluppatori e ad altri fornitori di cyber security e information technology. Sophos fornisce cybersecurity as a service alle aziende che necessitano di soluzioni chiavi in mano interamente gestite. I clienti possono scegliere di gestire la propria cybersecurity direttamente con la piattaforma di Sophos per le operazioni di sicurezza o di adottare un approccio ibrido, integrando i propri servizi con quelli di Sophos, come il threat huting e la remediation. Sophos distribuisce i propri prodotti attraverso partner e fornitori di servizi gestiti (MSP) in tutto il mondo La sede centrale di Sophos è situata a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibile alla pagina www.sophos.it.