Intrusioni informatiche: quali le tipologie dominanti?
In area EMEA, i tentativi di intrusione informatica aumentano del 40% ogni anno; di questi, nel primo semestre 2022 il 35% sono state operazioni eCrime, il 22% intrusioni mirate e il 2% attività di hacktivisti. Lo evidenzia il Nowhere to Hide: 2022 Falcon OverWatch Threat Hunting Report di CrowdStrike (Nasdaq: CRWD), insieme alla diminuzione dei tempi di breakout, cambiamenti nelle tendenze di attacco e di spionaggio. Il report include insights dalle operazioni globali di threat hunting di Falcon OverWatch nel periodo 1° luglio 2021 – 30 giugno 2022.
I dati
Gli esperti in threat hunting di Falcon OverWatch hanno identificato oltre 77.000 potenziali intrusioni, approssimativamente una ogni sette minuti. Si tratta di casi in cui l’attività di caccia alle minacce proattiva e affidata all’uomo ha scoperto cybercriminali che eseguono attivamente tecniche dannose in varie fasi della catena di attacco, nonostante i migliori sforzi degli aggressori per eludere i metodi di rilevamento autonomi.
Falcon OverWatch ha inoltre calcolato che il tempo di breakout, ossia il tempo impiegato da un avversario per muoversi lateralmente da un punto di accesso iniziale verso altri sistemi della rete, è diminuito a 1 ora e 24 minuti, rispetto a 1 ora e 38 minuti rilevato in precedenza. Nel 30% delle intrusioni di eCrime, i cybercriminali sono stati in grado di muoversi lateralmente in meno di 30 minuti. Queste evidenze sottolineano la velocità e la scala con cui questi autori evolvono le loro tattiche, tecniche e procedure (TTPs) e che sono capaci di eludere anche i più sofisticati sistemi di difesa per perseguire con successo i loro obiettivi.
- Nel 2022, il 35% delle intrusioni interattive è dovuto a eCrime, ossia attività di intrusione criminale per fini finanziari. Le attività state-nexus si attestano al 22%, mentre gli hacktivisti rappresentano solo il 2% delle campagne di intrusione interattiva. Le percentuali registrate da CrowdStrike nel 2021 sono rispettivamente 44%, 20% e 1%, con un aumento totale del 40% delle intrusioni interattive.
- Le minacce prive di malware rappresentano il 71% di tutti i rilevamenti indicizzati dal CrowdStrike Threat Graph. La predominanza di attività malware-free è legata, in parte, al prolifico abuso di credenziali valide da parte dei cybercriminali per facilitare l’accesso e la persistenza negli ambienti delle vittime. Un altro fattore è la velocità con cui nuove vulnerabilità vengono divulgate e con cui gli hackers sono in grado di rendere operativi gli exploits.
- I cinque settori principali presi di mira in area EMEA dalle intrusioni sono quello tecnologico e delle telecomunicazioni (17%), finanziario (9%), istituzionale (8%) e sanitario (5%).
- I primi cinque settori presi di mira da autori sponsorizzati da Stati-Nazione sono le telecomunicazioni (37%), tecnologico (14%), pubblica amministrazione (9%), istruzione (5%) e media (4,5%). Le telecomunicazioni continuano a essere nel mirino per soddisfare le priorità di sorveglianza, intelligence e controspionaggio sponsorizzate dallo Stato. In particolare, il settore Telco è stato colpito il 163% più frequentemente dalle intrusioni state-nexus rispetto al settore che si posiziona al secondo posto.
- Il volume di tentativi di intrusioni interattive degli affiliati al Ransomware-as-a-Service (RaaS) contro il settore sanitario è raddoppiato anno su anno. Un numero significativo di queste intrusioni è stato attribuito all’eCrime.
- I cinque tools più utilizzati dai cybercriminali nelle intrusioni informatiche in area EMEA sono stati Cobalt Strike (12%), custom web shells vari (11%), PsExec e Mimikatz (7%) e ProcDump (6%).
“Negli ultimi 12 mesi – sottolinea Param Singh, Vicepresidente di Falcon OverWatch a CrowdStrike – il mondo ha affrontato nuove sfide determinate dalle pressioni economiche e dalle tensioni geopolitiche, che hanno reso lo scenario delle minacce informatiche più complicato che mai. Per contrastare le minacce più dannose, gli esperti in sicurezza informatica devono implementare soluzioni che ricerchino proattivamente potenziali attacchi nascosti e avanzati ogni ora, ogni giorno”.
Immagini: CrowdStrike.