Lo studio ha rilevato come il 38% degli attacchi ransomware veloci avvenga entro cinque giorni dall'accesso iniziale

Gli attacchi di questo tipo ostacolano la capacità di reagire rapidamente dei responsabili della sicurezza IT aziendale

MILAN, ITALY — Novembre 21, 2023 —

Sophos, leader globale nell'innovazione e nell'erogazione della cybersicurezza as-a-service, ha pubblicato il nuovo studio Active Adversary Report for Security Practitioners evidenziando come i log telemetrici siano risultati assenti nel 42% circa dei casi analizzati.

Nell'82% di queste situazioni, ciò è dovuto alla disabilitazione o alla cancellazione che i cybercriminali effettuano allo scopo di nascondere le loro tracce. Il report copre le casistiche di Incident Response (IR) che Sophos ha analizzato da gennaio 2022 alla prima metà del 2023.

La presenza di falle nella telemetria limita la visibilità sulle reti e sui sistemi delle aziende, oggi ancora più indispensabile considerando come il tempo di permanenza (quello che intercorre dall'accesso iniziale fino al rilevamento) continui a contrarsi riducendo l'intervallo a disposizione dei difensori per reagire efficacemente a un incidente.

“Il tempo è essenziale quando si risponde a una minaccia: l'intervallo che separa l'evento di accesso iniziale dalla completa mitigazione della minaccia dovrebbe essere il più breve possibile.

Più in profondità il cybercriminale riesce ad arrivare nella catena di attacco, più complicati diventano i problemi per chi si deve difendere. La mancanza di telemetria allunga i tempi di risposta, cosa che la maggior parte delle aziende non può permettersi. Ecco perché log completi e precisi sono essenziali, anche se troppo spesso vediamo che le aziende non possiedono i dati di cui hanno bisogno”, ha dichiarato John Shier, field CTO di Sophos.

All'interno del proprio report Sophos classifica gli attacchi ransomware che hanno un tempo di permanenza uguale o inferiore ai cinque giorni (il 38% dei casi analizzati) come “attacchi veloci”. Gli attacchi ransomware “lenti”, quelli con un tempo di permanenza superiore ai cinque giorni, rappresentano il restante 62% dei casi.

Quando si esaminano questi attacchi ransomware “veloci” e “lenti” a livello granulare non si riscontrano particolari variazioni nei tool, nelle tecniche e nei LOLBins (Living-off-the-Land Binaries) dispiegati dai malintenzionati, a indicare che i difensori non debbono reinventare le loro strategie difensive al contrarsi dei tempi di permanenza. Gli stessi difensori, tuttavia, devono essere consapevoli del fatto che gli attacchi rapidi potrebbero rallentare i tempi di risposta provocando quindi maggiori danni.

“I cybercriminali innovano solamente quando devono, e solo nella misura in cui ciò li aiuta a raggiungere il loro bersaglio. Chi sferra l’attacco non cambia ciò che funziona, anche se questo comprime il tempo che trascorre dall'accesso al rilevamento. Si tratta di una buona notizia per le aziende perché così non devono modificare radicalmente le strategie difensive anche se gli attaccanti velocizzano le loro incursioni. Le stesse difese che intercettano gli attacchi veloci si applicano a ogni altro attacco, indipendentemente dalla sua rapidità. Sono difese che comprendono telemetria completa, robuste protezioni intorno a ogni elemento e monitoraggio diffuso ovunque”, ha commentato Shier. “Il segreto è quello di aumentare la frizione ogni volta che è possibile: se rendi più difficile il lavoro dell'attaccante, allora puoi ottenere più tempo prezioso per rispondere allungando ogni fase di un attacco”.

“Per esempio, nel caso di un attacco ransomware, se c'è una maggior frizione in campo è possibile ritardare il momento dell'esfiltrazione, evento che avviene subito prima del rilevamento e che risulta spesso la parte più costosa di un attacco. L'abbiamo visto succedere in due incidenti che hanno coinvolto il ransomware Cuba. Una società (Azienda A) disponeva di monitoraggio continuativo con MDR, il che ci ha permesso di intercettare l'attività anomala e di bloccare l'attacco nell'arco di qualche ora evitando la sottrazione di qualunque dato. Una seconda società (Azienda B) non possedeva questa frizione e quindi non si è accorta dell'attacco se non dopo svariate settimane dall'accesso iniziale dopo che Cuba aveva già esfiltrato 75 gigabyte di dati sensibili. A questo punto l'azienda ha chiamato il nostro team IR e, dopo un mese, stava ancora cercando di tornare regolarmente in attività”.

Lo studio Sophos Active Adversary Report for Security Practitioners è basato su 232 casistiche Incident Response (IR) Sophos avvenute in 25 diversi settori dal 1' gennaio 2022 al 30 giugno 2023. Le aziende colpite si trovano in 34 differenti Paesi di sei continenti. L'83% dei casi riguarda organizzazioni con meno di 1.000 dipendenti.

Sophos Active Adversary Report for Security Practitioners fornisce intelligence e consigli utili per i responsabili della sicurezza interessati a ottimizzare le rispettive strategie di difesa.

Per maggiori informazioni sui comportamenti, sui tool e sulle tecniche degli attaccanti è possibile consultare Active Adversary Report for Security Practitioners su Sophos.com.

Informazioni su Sophos

Sophos, leader mondiale e innovatore di soluzioni avanzate di cybersecurity, tra cui servizi MDR (Managed Detection and Response) e incident response, mette a disposizione delle aziende un’ampia gamma di soluzioni di sicurezza per endpoint, network, email e cloud al fine di supportarle nella lotta ai cyber attacchi. In quanto uno dei principali provider di cybersecurity, Sophos protegge oltre 600.000 realtà e più di 100 milioni di utenti a livello globale da potenziali minacce, ransomware, phishing, malware e altro. I servizi e le soluzioni di Sophos vengono gestiti attraverso la console Sophos Central, basata su cloud, e si incentra su Sophos X-Ops, l'unità di threat intelligence cross-domain dell'azienda. Sophos X-Ops ottimizza l’intero ecosistema adattivo di cybersecurity di Sophos, che include un data lake centralizzato, che si avvale di una ricca serie di API aperti, resi disponibili ai clienti, ai partner, agli sviluppatori e ad altri fornitori di cyber security e information technology. Sophos fornisce cybersecurity as a service alle aziende che necessitano di soluzioni chiavi in mano interamente gestite. I clienti possono scegliere di gestire la propria cybersecurity direttamente con la piattaforma di Sophos per le operazioni di sicurezza o di adottare un approccio ibrido, integrando i propri servizi con quelli di Sophos, come il threat hunting e la remediation. Sophos distribuisce i propri prodotti attraverso partner e fornitori di servizi gestiti (MSP) in tutto il mondo. Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it