Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
May 31, 2024
Nel 2023 gli attacchi informatici si svilupperanno più rapidamente poiché i tempi di permanenza medi diminuiranno
denisismagilov - stock.adobe.com Il tempo di permanenza medio, ovvero il tempo che intercorre tra l'accesso di un utente malintenzionato ai sistemi della vittima e il rilevamento o l'esecuzione dell'attacco, è diminuito in modo significativo, scendendo
denisismagilov - stock.adobe.com
Il tempo di permanenza mediano, ovvero il tempo che intercorre tra l'accesso di un utente malintenzionato ai sistemi della vittima e il rilevamento o l'esecuzione dell'attacco, è diminuito in modo significativo, passando da 10 a otto giorni tra gennaio e luglio 2023, dopo essere sceso di cinque giorni da 15 a 10 nel 2022. dopo un forte aumento nel 2021.
Questo è quanto emerge dai dati tratti dai casi di risposta agli incidenti (IR) di Sophos X-Ops, pubblicati oggi nel rapporto Active Adversary Report for Tech Leaders 2023 dell'azienda.
Il titolo statistico potrebbe essere considerato una buona notizia, come un segno che le capacità di rilevamento tra i team di sicurezza degli utenti finali stanno migliorando, ma d’altro canto, potrebbe anche riflettere attori di minacce sempre più ben organizzati, tecnicamente esperti e operativamente efficienti che sanno cosa vogliono e come ottenerlo.
Infatti, X-Ops ha scoperto che gli aggressori ora impiegano circa 16 ore per raggiungere le risorse Active Directory (AD) critiche delle loro vittime. Tali risorse in genere gestiscono l’identità e l’accesso alle risorse organizzative, rendendole una miniera d’oro per gli autori delle minacce che cercano di aumentare i propri privilegi, come ha spiegato John Shier, Chief Technology Officer di Sophos.
"Attaccare l'infrastruttura Active Directory di un'organizzazione ha senso da un punto di vista offensivo", ha affermato. “AD è solitamente il sistema più potente e privilegiato della rete, poiché fornisce ampio accesso a sistemi, applicazioni, risorse e dati che gli aggressori possono sfruttare nei loro attacchi. Quando un utente malintenzionato controlla AD, può controllare l'organizzazione. L'impatto, l'escalation e il sovraccarico di ripristino di un attacco ad Active Directory sono il motivo per cui viene preso di mira.
“Arrivare e acquisire il controllo del server Active Directory nella catena di attacco offre agli avversari numerosi vantaggi. Possono restare inosservati per determinare la loro prossima mossa e, una volta che sono pronti, possono farsi strada senza ostacoli attraverso la rete della vittima.
"Il recupero completo da una compromissione del dominio può essere uno sforzo lungo e arduo", ha affermato Shier. “Un simile attacco danneggia le fondamenta della sicurezza su cui poggia l'infrastruttura di un'organizzazione. Molto spesso, un attacco AD riuscito significa che il team di sicurezza deve ricominciare da zero."
Il rapporto rivela inoltre che, nel caso degli attacchi ransomware, il tempo di permanenza medio è ora sceso a cinque giorni, il che potrebbe essere collegato alla crescita degli attacchi ransomware in cui non viene utilizzato alcun ransomware locker, come la recente campagna di Clop contro MOVEit di Progress Software. attrezzo.
Gli attacchi ransomware sono stati il tipo di attacco più diffuso nei casi IR su cui ha lavorato il team X-Ops, rappresentando il 69% degli impegni. Shier, tuttavia, ha osservato che, escludendo gli incidenti di ransomware noti, un numero significativo di attacchi sembrava essere costituito da violazioni di rete consistenti in un’intrusione ma senza un motivo chiaro, sollevando la domanda: quanti di questi erano effettivamente attacchi di ransomware sventati.
"Siamo stati in grado di identificare diversi attacchi perpetrati da Cuba e Vice Society, entrambi famigerati fornitori di ransomware, ma soprattutto quegli attacchi non hanno mai raggiunto la fase del ransomware", ha scritto Shier.
“La lezione per la leadership aziendale è che un’azione tempestiva può spezzare anche una catena di attacco collaudata come quella utilizzata dal ransomware; nel caso di molti di questi incidenti, è probabile che sia successo proprio questo”.
Riflettendo una tendenza osservata da tempo ma generalmente non quantificata tra gli autori delle minacce di eseguire ransomware nei fine settimana o nei giorni festivi – come nell’incidente di Kaseya del 4 luglio 2021 – Sophos ha rivelato che nell’81% degli attacchi ransomware osservati, il payload finale è stato fatto esplodere al di fuori di durante l’orario di lavoro, e di quelli che sono stati impiegati durante l’orario di lavoro, solo cinque hanno avuto luogo nei giorni feriali.
Il numero di attacchi rilevati nella telemetria di X-Ops è generalmente aumentato con il passare della settimana, con il 43% degli attacchi ransomware rilevati di venerdì o sabato, quando i team di sicurezza sono in pausa per il fine settimana o completamente fuori ufficio.