Dal nuovo Sophos Active Adversary Report emerge anche come LockBit abbia dominato nella prima metà del 2024 nonostante gli interventi delle autorità

MILAN, IT — Dicembre 16, 2024 —

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, ha pubblicato oggi “The Bite from Inside: The Sophos Active Adversary Report”, uno sguardo approfondito sui comportamenti e sulle tecniche che i cybercriminali hanno utilizzato nella prima metà del 2024.

I dati, che scaturiscono da quasi 200 casi di risposta a incidenti (IR) seguiti dai teamSophos X-Ops IR e Sophos X-Ops Managed Detection and Response (MDR), mostrano come gli autori degli attacchi stiano sfruttando applicazioni e tool legittimi presenti nei sistemi Windows – una tecnica nota come “living off the land” – per esaminare i sistemi stessi e mantenere una presenza persistente al loro interno.

Sophos ha notato un incremento del 53% nell'uso di file binari “Living off the Land” (o LOLbins) rispetto al 2023; un dato che dal 2021 è aumentato dell'83%.

Tra i 187 singoli LOLbins Microsoft rilevati nella prima metà dell'anno, l'applicazione legittima più frequentemente sfruttata dai cybercriminali è stata RDP o Remote Desktop Protocol. L'abuso di RDP è stato registrato nell'89% dei quasi 200 casi IR analizzati. Questo predominio conserva una tendenza osservata inizialmente nel 2023 Active Adversary Report, nel quale l'abuso di RDP era apparso prevalente nel 90% di tutti i casi IR investigati.

“La tecnica living-off-the-land non solo permette di mascherare le attività di un cybercriminale ma fornisce anche una tacita approvazione delle relative azioni. Se l'abuso di alcuni tool legittimi può sollevare qualche dubbio e magari far suonare un campanello di allarme, l'abuso di un file binario Microsoft genera spesso l'effetto opposto. Molti dei tool Microsoft abusati fanno parte di Windows e la loro presenza è legittima, ma è compito degli amministratori di sistema capire il modo in cui essi vengono usati nei rispettivi ambienti e decidere cosa in particolare possa costituire un abuso. Senza una consapevolezza completa e contestuale dell'ambiente, compresa una continua vigilanza sugli eventi che possono emergere e svilupparsi all'interno della rete, i team IT rischiano di perdere di vista le attività pericolose che spesso rappresentano i prodromi del ransomware”, ha dichiarato John Shier, field CTO di Sophos.

Il report ha rilevato anche come, nonostante a febbraio le autorità avessero neutralizzato il sito e l'infrastruttura principali di LockBit, questo gruppo specializzato in ransomware sia ancora quello incontrato più frequentemente nelle analisi essendo responsabile di circa il 21% delle infezioni registrate nella prima metà del 2024.

Altri dati emersi dal nuovo Active Adversary Report:

  • La causa originaria degli attacchi: proseguendo una tendenza apparsa inizialmente nell' Active Adversary Report for Tech Leaders, la compromissione delle credenziali è tuttora la più diffusa causa originaria degli attacchi, essendo responsabile del 39% dei casi analizzati; il dato è tuttavia in discesa rispetto al 56% del 2023
  • Le violazioni di rete in cima alla lista del team MDR:quando si esaminano solamente i casi riportati dal team Sophos MDR, le violazioni di rete rappresentano il tipo di incidente più frequentemente incontrato
  • Il dwell time di accorcia per i team MDR: nei casi gestiti dal team Sophos IR, il dwell time (l'intervallo di tempo che va dall'inizio di un attacco fino al suo rilevamento) è rimasto fermo a circa otto giorni. Con MDR, invece, il valore mediano è di un solo giorno per tutte le tipologie di incidente e di soli tre giorni per gli attacchi ransomware
  • I server Active Directory colpiti più spesso stanno arrivando al termine della vita operativa:i cybercriminali hanno colpito più frequentemente le versioni 2019, 2016 e 2012 dei server Active Directory (AD). Tutte queste tre versioni sono uscite dal programma di supporto Mainstream di Microsoft e si trovano a un passo dallo stato end-of-life (EOL) senza più possibilità di ricevere patch salvo attraverso una assistenza a pagamento da parte di Microsoft stessa. Da aggiungere che il 21% dei server AD colpiti si trova già in una versione EOL

Per maggiori informazioni sui comportamenti, sui tool e sulle tecniche dei cybercriminali è possibile leggere “The Bite from Inside: The Sophos Active Adversary Report” al link https://news.sophos.com/en-us/2024/12/12/active-adversary-report-2024-12/ .

Informazioni su Sophos

Sophos è un’azienda leader nell’ambito della cybersecurity e protegge 600.000 organizzazioni in tutto il mondo con una piattaforma basata sull’IA e servizi a cura di esperti. Sophos viene incontro alle esigenze delle organizzazioni, adattandosi al loro livello di maturità di sicurezza informatica e crescendo insieme ai clienti per tutelarli dai cyberattacchi. La sua soluzione offre la combinazione ottimale tra machine learning, automazione e dati di intelligence sulle minacce in tempo reale, aggiungendo le competenze umane degli esperti del team Sophos X-Ops, che lavorano in prima linea per garantire monitoraggio, rilevamento e risposta alle minacce 24/7.
Sophos offre un servizio di Managed Detection and Response (MDR) leader di settore, nonché una linea completa di tecnologie di sicurezza, tra cui soluzioni per la protezione di endpoint, rete, e-mail e cloud, nonché Extended Detection and Response (XDR), rilevamento delle minacce all’identità (Identity Threat Detection and Response, ITDR) e SIEM next-gen. Unite a servizi di consulenza a cura di esperti, queste funzionalità aiutano le organizzazioni a ridurre proattivamente il rischio e a rispondere in maniera più tempestiva, ottenendo il giusto livello di visibilità e scalabilità richiesto per tenersi un passo avanti rispetto a minacce in continua evoluzione.
La strategia go-to-market di Sophos si basa su un ecosistema di Partner che include Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Rivenditori e Distributori, integrazioni per il marketplace, e Partner Cyber Risk; questa strategia offre alle organizzazioni la flessibilità di scegliere come stabilire rapporti di fiducia per la protezione della loro attività.  Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.