Secondo il nuovo Rapporto Sophos sui cyber attacchi nel 2022, per sferrarli i criminal hacker hanno usato oltre 500 fra tool e tattiche, anche se le vulnerabilità non risolte e le credenziali compromesse fanno la parte del leone.
“Il rapporto conferma alcune tendenze emerse negli scorsi mesi”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “e dettagliate da rapporti come quello sull’analisi del panorama delle minacce pubblicato dall’agenzia europea ENISA”.
Ecco le tattiche di attacco più diffuse e come proteggersi.
Indice degli argomenti
Cyber attacchi nel 2022: le tattiche più diffuse
Dal nuovo rapporto, intitolato “Sophos Active Adversary Report for Business Leaders”, emerge che l’origine dei cyberattacchi risiede nelle falle non risolte e nelle credenziali compromesse, ma il ransomware continua a ricoprire un ruolo da protagonista in più di due terzi degli attacchi (68%). Infatti “la predominanza degli incidenti in cui sono coinvolti ransomware”, continua Paganini, “segnala l’interesse nell’attività estorsiva da parte del crimine informatico”.
Il rapporto, che ha analizzato più di 150 interventi di Incident Response (IR) gestiti da Sophos, ha identificato oltre 500 tool e tecniche tra cui 118 file binari eseguibili di tipo LOLBin, difficili da bloccare ed economici.
“Gli attaccanti”, infatti, conferma Paganini, “sono sempre più astuti e rapidi nelle loro campagne. L’utilizzo di LOLBin (abbreviazione per Living Off the Land Binaries), ovvero di applicazioni e componenti legittime del sistema operativo, rende gli attacchi molto evasivi”.
I file binari eseguibili di tipo LOLBin sono dunque difficili da bloccare ed economici. “Altro vantaggio nell’uso di questi programmi è infatti la riduzione del costo delle operazioni che altrimenti prevederebbe lo sviluppo o il noleggio di malware”, evidenzia Paganini.
Nella metà dei casi, inoltre, Sophos ha scoperto che i cybercriminali hanno usato le vulnerabilità ProxyShell e Log4Shell, risalenti al 2021, per penetrare le reti delle loro vittime. “Secondo il rapporto”, continua Paganini, “la principale causa di accesso iniziale sono le vulnerabilità non risolte seguite dall’utilizzo di credenziali compromesse, entrambi gli scenari causati da una scarsa postura di sicurezza delle aziende colpite”.
Attacchi mordi e fuggi
“Gli attaccanti sono sempre più concentrati in operazioni mordi e fuggi (hit and run), in cui si tende a massimizzare lo sforzo nel minor intervallo di tempo possibile”, avverte Paganini.
Nonostante il ruolo da protagonista dei ransomware, il tempo di permanenza dei cybercriminali nel 2022 è calato. “Il tempo di permanenza degli attaccanti nel 2022 è sceso da 15 a 10 giorni per ogni tipologia di attacco“, mette in guardia Paganini: “La tendenza è evidente negli attacchi ransomware (da 11 a 9 giorni), attacchi in cui il fattore tempo è determinante per la riuscita dell’attività estorsiva“.
Come proteggersi
Le aziende devono migliorare la postura di sicurezza, aggiornando e mantenendo aggiornati i sistemi operativi, le app e i software. Inoltre, le credenziali sono dati sensibili da scegliere con cura e proteggere con grande attenzione. “La scarsa postura di sicurezza delle aziende colpite”, conclude Paganini, è un “aspetto determinante per il successo degli attacchi e sebbene si utilizzino soluzioni di difesa sempre più complesse, processi di patch management assenti o non funzionanti e meccanismi di autenticazione deboli continuano ad esporre le nostre aziende ad intrusioni dalle conseguenze catastrofiche“.
Conoscere e presidiare il perimetro d’attacco, insieme al monitoraggio proattivo, rivestono un ruolo di primo piano per difendersi.
“Le aziende che hanno implementato con successo difese stratificate costantemente monitorate stanno registrando risultati migliori se si considera la gravità degli attacchi”, afferma John Shier, field CTO, commercial di Sophos: “Esistono tool e servizi che le aziende possono utilizzare per alleggerire parte del loro carico difensivo così da potersi concentrare sulle priorità del loro core business”.
Tuttavia “l’effetto collaterale di un miglioramento delle difese è quello di costringere gli avversari a muoversi più rapidamente per portare a compimento i loro attacchi”, conclude Shier: “La conseguenza è che attacchi più rapidi hanno bisogno di essere rilevati prima. La sfida tra autori dell’attacco e difensori proseguirà nella sua escalation e chi non dispone di un monitoraggio proattivo ne pagherà gli effetti più pesanti”.
