Debutta il Threat Hunting Report 2024 di CrowdStrike da cui emerge il ruolo crescente degli stati-nazione come la Nord-Corea che sfruttano credenziali legittime per mascherarsi da insider.
“Il rapporto è ricco di informazioni interessanti che ci aiutano a comprendere l’evoluzione del panorama delle minacce“, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Risultano, inoltre, sempre attuali gli attacchi cloud e cross-domain, l’abuso di credenziali e strumenti di monitoraggio e gestione remota (RMM).
“L’aumento del 55% delle intrusioni interattive, in particolare quelle attribuite ad attività eCrime”, osserva Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360, “evidenzia come i cyber criminali stiano diventando sempre più sofisticati e mirati“.
Ecco i punti salienti del rapporto annuale.
Indice degli argomenti
Threat Hunting Report 2024: i rischi secondo CrowdStrike
Il rapporto di CrowdStrike evidenzia le tendenze, le campagne malware e le tattiche che hanno messo in luce gli analisti dell’intelligence e degli specialisti in threat hunting dell’azienda.
Il report 2024 osserva una crescita degli avversari, sia di stati-nazione che di eCrime, che, sfruttando credenziali e identità legittime, evitano il rilevamento e bypassano i controlli di sicurezza tradizionali. Ma crescono anche le intrusioni hands-on-keyboard, gli attacchi cross-domain e quelli al cloud control plane.
“Dipendiamo in maniera irreversibile da sistemi digitali interconnessi tanto da non poter immaginare una vita su questo pianeta senza internet, esattamente come non possiamo immaginarla senza acqua, terra, ossigeno”, evidenzia Domenico Raguseo, direttore Cybersecurity di Exprivia: “Inevitabile che gli stati si organizzino per difendere i propri interessi non solo su terra, mare e aria ma anche su internet dove però i confini non sono così ben definiti e la stessa internet non è un elemento reperibile in natura ma fatto e gestito dall’uomo e reso disponibile all’uomo tramite applicazioni e infrastrutture (vedi i DNS) a loro volta create e gestite dagli uomini, spesso soggetti privati”.
“Insomma, se l’umanità fatica a convivere e regolamentare la vita sul pianeta terra”, conclude Raguseo, “potete immaginare come sia complicato farlo su internet dove stati, criminali, attivisti eccetera si contendono un territorio non ben definito dove a farla da padrone sono interessi spesso transnazionali che hanno motivazioni diverse ma utilizzano tattiche di attacco simili“.
Il ruolo della Corea del Nord
“Partiamo dalle capacità di gruppi legati alla Corea del Nord come Famous Chollima“, mette in evidenza Paganini, “che, secondo il rapporto avrebbe già infiltrato oltre 100 aziende tecnologiche in tutto il mondo“. Soprattutto negli
Stati Uniti.
Gli avversari nordcoreani, infatti, si fingono dipendenti statunitensi legittimi. Ma i finti insider con documenti d’identità falsificati o rubati, puntano ad ottenere lavori da personale IT remoto, per esfiltrare dati e svolgere attività malevole.
“Il meccanismo è noto negli ambiti dell’intelligence e della cyber security”, sottolinea Paganini, “gli attaccanti hanno infatti infiltrato le aziende proponendosi come esperti reclutabili nell’ambito IT. Queste cariche offrono alle spie coreane posizioni privilegiate ed accesso ad informazioni sensibili delle aziende prese di mira e dei loro clienti”.
Il pericolo delle intrusioni hands-on-keyboard
Dal Threat Hunting Report 2024 emerge anche il rischio delle “intrusioni dirette con accesso fisico (hands-on-keyboard)“, continua Paganini, “probabilmente in aumento grazie alle accresciute capacità di detection delle aziende”.
Infatti, registrano un incremento del 55% le intrusioni hands-on-keyboard. Ad effettuare l’86% di tutte le intrusioni manuali sono soggetti operanti nell’ambito della criminalità informatica in cerca di guadagni finanziari. Questi attacchi vedono un aumento del 75% nel settore sanitario e del 60% in quello tecnologico, il settore più colpito per il settimo anno consecutivo.
“L’accesso fisico implica il coinvolgimento di esperti in offensive le cui modalità di attacco possono andare ben oltre l’automatizzazione degli attacchi raggiunta al giorno d’oggi”, mette in guardia Paganini.
Attacchi cross-domain e altri rischi nel Threat Hunting Report 2024
Negli attacchi cross-domain, gli attori malevoli sempre più sfruttano credenziali valide per eseguire violazioni deli ambienti cloud e sfruttare in una fase seguente quell’accesso per penetrare nei dispositivi endpoint. Sono attacchi che minimizzano le tracce in ognuno di questi domini, rendendo più complesso il rilevamento.
“L’uso crescente di credenziali valide per accedere agli ambienti cloud conferma un affinamento delle tecniche degli attori malevoli”, avverte Paganini, “che spesso ottengono tali credenziali tramite phishing, violazioni di dati, o mediante access broker. Questo fenomeno mette in luce la necessità di adottare misure di sicurezza più robuste“.
Abuso di RMM
Secondo il Threat Hunting Report 2024, cresce del 70% l’abuso di strumenti di Remote Monitoring and Management (RMM).
“L’aumento degli attacchi cross-domain e l’abuso degli strumenti di Remote Monitoring and Management (RMM)”, secondo Paganini, “riflettono tendenze osservate da tempo nel settore della cyber security”.
L'(eCrime) Chef Spider e Static Kitten (Iran-nexus) sfruttano strumenti legittimi di monitoraggio e gestione remota (RMM) come ConnectWise ScreenConnect per utilizzare in maniera malevola gli endpoint.
“Le tecniche di attacco, come gli attacchi cross-domain e l’abuso di credenziali legittime”, evidenzia Fadda, “rappresentano sfide significative per le organizzazioni, poiché gli avversari cercano di eludere i sistemi di rilevamento tradizionali. In particolare, l’uso di strumenti di monitoraggio e gestione remota (RMM)”.
“Questo trend”, secondo Fadda, “mette in evidenza come i cyber criminali stiano utilizzando software legittimi, come ConnectWise ScreenConnect e AnyDesk, per infiltrarsi nei sistemi e mantenere un accesso persistente, rendendo le loro attività ancora più difficili da rilevare“.
L’abuso degli strumenti RMM costituisce infatti il 27% di tutte le intrusioni hands-on-keyboard. “Ciò evidenzia un’importante tendenza nelle tattiche degli attaccanti”, conclude Paganini: “questi strumenti, progettati per la gestione remota dei sistemi IT, sono spesso utilizzati dai team di sicurezza per monitorare e mantenere i dispositivi aziendali. Tuttavia, la loro compromissione offre agli attaccanti un accesso privilegiato alle reti aziendali, permettendo loro di eseguire attività malevole come la distribuzione di malware o il controllo remoto dei sistemi evitando di essere scoperti“.
Il social engineering nel Threat Hunting Report 2024
Attori di minacce specializzati nello sfruttare il cloud, come Scattered Spider (eCrime), utilizzano le tecniche di ingegneria sociale, le modifiche alle policy e l’accesso ai gestori di password per infiltrarsi negli ambienti cloud.
Le connessioni tra il Cloud Control Plane e i dispositivi endpoint permettono loro di spostarsi lateralmente, mantenendo così la persistenza ed esfiltrando dati.
Come proteggersi
“Tracciando quasi 250 avversari nell’ultimo anno, è emerso un tema centrale: i gruppi criminali si focalizzano sempre più in intrusioni interattive e utilizzano tecniche cross-domain domain per eludere le detection e raggiungere i loro obiettivi”, sottolinea Adam Meyers, Head of Counter Adversary Operations di CrowdStrike che ricorda che il threat-hunting con IA nativa “consente agli algoritmi che potenziano la nostra piattaforma Falcon di rimanere un passo avanti rispetto alle minacce in continua evoluzione e continuare a fornire le soluzioni di cyber security più efficaci del settore”.
“È fondamentale che le aziende investano in strategie di difesa proattive e in tecnologie avanzate, come l’intelligenza artificiale, per rimanere un passo avanti rispetto agli aggressori”, conclude Dario Fadda: “Inoltre, il report sottolinea l’importanza di una cultura della sicurezza informatica all’interno delle organizzazioni, dove la formazione continua e la consapevolezza dei dipendenti possono fare la differenza nel prevenire attacchi”.
