A livello globale, gli avversari informatici stanno utilizzando strategie sempre più innovative per estendere la loro presenza, ottimizzare gli attacchi e aumentare il loro impatto.
Secondo il Threat Hunting Report di CrowdStrike, nell’ultimo anno questi gruppi hanno adottato metodi più aggressivi, sfruttando le vulnerabilità dei sistemi e rappresentando una minaccia sempre più pressante per le aziende di tutta Europa.
Il report ha rivelato che il breakout time degli avversari, ovvero la velocità con cui un avversario si sposta lateralmente all’interno di un sistema compromesso, è crollato al minimo storico raggiungendo i 79 minuti. Il valore è in calo rispetto agli 84 minuti del 2022, e il breakout time più rapido mai registrato è stato di 7 minuti. Ciò significa che in meno del tempo necessario per allontanarsi dalla scrivania e prepararsi una tazza di caffè, l’avversario è riuscito a compromettere un host iniziale, per poi spostarsi lateralmente nell’ambiente target.
Inoltre, CrowdStrike ha osservato che questi incidenti hanno avuto spesso origine da una compromissione dell’identità. Gli avversari non si affidano esclusivamente a credenziali valide compromesse, ma sono in grado di abusare di qualsiasi forma di identificazione e autorizzazione, comprese le credenziali deboli provenienti da attività poco sicure.
Questi risultati dimostrano come i CISO debbano continuamente assicurarsi che i loro team siano abbastanza rapidi nel rilevare, indagare e neutralizzare le minacce odierne e individuare un avversario in sette minuti.
Di seguito, vengono analizzate le tendenze principali evidenziate nel report e come i CISO di tutta Europa possano prepararsi alle minacce future, dato che gli avversari sferrano attacchi sempre più aggressivi e sofisticati.
Indice degli argomenti
Il panorama della cyber security in Europa
Il settore finanziario in Europa è particolarmente vulnerabile e ha superato quello delle telecomunicazioni, diventando il secondo settore più preso di mira, seguito da vicino dalla tecnologia.
Nel frattempo, le attività di intrusione nel settore delle telecomunicazioni hanno rappresentato almeno il 10% del totale, con una percentuale significativa di compromissioni attribuibili ad attori connessi all’Iran. Cobalt Strike, PsExec, ProcessHacker, Mimikatz e NetScan sono stati i primi cinque strumenti sfruttati nelle intrusioni interattive.
Inoltre, l’attore della minaccia eCrime, VICE SPIDER, è stato il più prolifico in Europa, osservato in ben 19 settori.
I servizi finanziari in stato di massima allerta
Il volume delle attività di intrusione interattiva rivolte al settore dei servizi finanziari è aumentato di oltre l’80% nell’ultimo anno.
Gli attori con sede in Corea del Nord, in particolare il gruppo LABYRINTH CHOLLIMA, hanno intensificato notevolmente le loro attività contro il mondo finanziario, prendendo di mira soprattutto le organizzazioni fintech. Ora hanno adattato le loro strategie per includere strumenti specificamente progettati per le piattaforme Linux e macOS.
Mentre alcuni avversari si concentrano su furti di criptovalute e NFT, le minacce eCrime predominanti rimangono radicate nel ransomware “big game hunting” (BGH) e nelle campagne di furto di dati ad ampio raggio.
Gli attacchi all’identità sono in aumento
I trend attuali indicano che gli avversari informatici si stanno concentrando sugli attacchi basati sull’identità. Un significativo 62% delle intrusioni interattive si è basato sull’abuso di account validi. È preoccupante notare come si sia verificato un aumento del 160% dei tentativi di ottenimento delle chiavi di accesso e di altre credenziali tramite le API dei metadati delle istanze cloud.
A contribuire alla massiccia escalation di compromissioni basate sull’identità è l’aumento del 583% degli attacchi Kerberoasting, una tecnica avversaria che consente ai cybercriminali di ottenere credenziali valide per gli account dei servizi Microsoft Active Directory, spesso fornendo agli attori privilegi più elevati e consentendo loro di rimanere inosservati negli ambienti delle vittime per periodi di tempo più lunghi.
Questa tecnica rappresenta una minaccia significativa per le aziende, perché gli avversari non necessitano di strumenti specifici per eseguire questo tipo di attacchi. Nell’ultimo anno, gli attacchi contro Kerberos sono stati associati prevalentemente ad avversari dell’eCrime. VICE SPIDER è stato ancora una volta l’avversario eCrime più prolifico, responsabile del 27% di tutte le intrusioni che hanno coinvolto la tecnica Kerberoasting.
Impossibile nascondersi
I risultati del Threat Hunting Report 2023 di CrowdStrike hanno rivelato che gli avversari nel panorama delle minacce informatiche sono più agili e sofisticati rispetto a un anno fa, riducendo sempre di più il breakout time. I team di cybersecurity di tutta Europa sono chiamati a rafforzare la collaborazione con i propri partner per sviluppare strategie efficaci al fine di bloccare le violazioni a ritmi sempre più rapidi ed evitare che l’avversario moderno possa nascondersi.
Il futuro della sicurezza informatica richiede una stretta cooperazione uomo-macchina per far fronte alla velocità, al volume e alla crescente sofisticazione dell’avversario.
Se addestrati correttamente, i team di sicurezza possono scovare rapidamente le minacce nascoste, accelerare il processo decisionale degli analisti e snellire il processo di rilevamento.
Quando ci si scontra con un avversario che può potenzialmente prendere il controllo in soli sette minuti, non c’è spazio per scendere a compromessi sulla sicurezza.
