Dal nuovo Sophos Active Adversary Report emerge anche come LockBit abbia dominato nella prima metà del 2024 nonostante gli interventi delle autorità

MILAN, IT — Dicembre 16, 2024 —

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, ha pubblicato oggi “The Bite from Inside: The Sophos Active Adversary Report”, uno sguardo approfondito sui comportamenti e sulle tecniche che i cybercriminali hanno utilizzato nella prima metà del 2024.

I dati, che scaturiscono da quasi 200 casi di risposta a incidenti (IR) seguiti dai teamSophos X-Ops IR e Sophos X-Ops Managed Detection and Response (MDR), mostrano come gli autori degli attacchi stiano sfruttando applicazioni e tool legittimi presenti nei sistemi Windows – una tecnica nota come “living off the land” – per esaminare i sistemi stessi e mantenere una presenza persistente al loro interno.

Sophos ha notato un incremento del 53% nell'uso di file binari “Living off the Land” (o LOLbins) rispetto al 2023; un dato che dal 2021 è aumentato dell'83%.

Tra i 187 singoli LOLbins Microsoft rilevati nella prima metà dell'anno, l'applicazione legittima più frequentemente sfruttata dai cybercriminali è stata RDP o Remote Desktop Protocol. L'abuso di RDP è stato registrato nell'89% dei quasi 200 casi IR analizzati. Questo predominio conserva una tendenza osservata inizialmente nel 2023 Active Adversary Report, nel quale l'abuso di RDP era apparso prevalente nel 90% di tutti i casi IR investigati.

“La tecnica living-off-the-land non solo permette di mascherare le attività di un cybercriminale ma fornisce anche una tacita approvazione delle relative azioni. Se l'abuso di alcuni tool legittimi può sollevare qualche dubbio e magari far suonare un campanello di allarme, l'abuso di un file binario Microsoft genera spesso l'effetto opposto. Molti dei tool Microsoft abusati fanno parte di Windows e la loro presenza è legittima, ma è compito degli amministratori di sistema capire il modo in cui essi vengono usati nei rispettivi ambienti e decidere cosa in particolare possa costituire un abuso. Senza una consapevolezza completa e contestuale dell'ambiente, compresa una continua vigilanza sugli eventi che possono emergere e svilupparsi all'interno della rete, i team IT rischiano di perdere di vista le attività pericolose che spesso rappresentano i prodromi del ransomware”, ha dichiarato John Shier, field CTO di Sophos.

Il report ha rilevato anche come, nonostante a febbraio le autorità avessero neutralizzato il sito e l'infrastruttura principali di LockBit, questo gruppo specializzato in ransomware sia ancora quello incontrato più frequentemente nelle analisi essendo responsabile di circa il 21% delle infezioni registrate nella prima metà del 2024.

Altri dati emersi dal nuovo Active Adversary Report:

  • La causa originaria degli attacchi: proseguendo una tendenza apparsa inizialmente nell' Active Adversary Report for Tech Leaders, la compromissione delle credenziali è tuttora la più diffusa causa originaria degli attacchi, essendo responsabile del 39% dei casi analizzati; il dato è tuttavia in discesa rispetto al 56% del 2023
  • Le violazioni di rete in cima alla lista del team MDR:quando si esaminano solamente i casi riportati dal team Sophos MDR, le violazioni di rete rappresentano il tipo di incidente più frequentemente incontrato
  • Il dwell time di accorcia per i team MDR: nei casi gestiti dal team Sophos IR, il dwell time (l'intervallo di tempo che va dall'inizio di un attacco fino al suo rilevamento) è rimasto fermo a circa otto giorni. Con MDR, invece, il valore mediano è di un solo giorno per tutte le tipologie di incidente e di soli tre giorni per gli attacchi ransomware
  • I server Active Directory colpiti più spesso stanno arrivando al termine della vita operativa:i cybercriminali hanno colpito più frequentemente le versioni 2019, 2016 e 2012 dei server Active Directory (AD). Tutte queste tre versioni sono uscite dal programma di supporto Mainstream di Microsoft e si trovano a un passo dallo stato end-of-life (EOL) senza più possibilità di ricevere patch salvo attraverso una assistenza a pagamento da parte di Microsoft stessa. Da aggiungere che il 21% dei server AD colpiti si trova già in una versione EOL

Per maggiori informazioni sui comportamenti, sui tool e sulle tecniche dei cybercriminali è possibile leggere “The Bite from Inside: The Sophos Active Adversary Report” al link https://news.sophos.com/en-us/2024/12/12/active-adversary-report-2024-12/ .

Informazioni su Sophos

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, tra cui servizi MDR (Managed Detection and Response) e incident response, mette a disposizione delle aziende un’ampia gamma di soluzioni di sicurezza per endpoint, network, email e cloud al fine di supportarle nella lotta ai cyber attacchi. In quanto uno dei principali provider di cybersecurity, Sophos protegge oltre 600.000 realtà e più di 100 milioni di utenti a livello globale da potenziali minacce, ransomware, phishing, malware e altro. I servizi e le soluzioni di Sophos vengono gestiti attraverso la console Sophos Central, basata su cloud, e si incentra su Sophos X-Ops, l'unità di threat intelligence cross-domain dell'azienda. Sophos X-Ops ottimizza l’intero ecosistema adattivo di cybersecurity di Sophos, che include un data lake centralizzato, che si avvale di una ricca serie di API aperti, resi disponibili ai clienti, ai partner, agli sviluppatori e ad altri fornitori di cyber security e information technology. Sophos fornisce cybersecurity as a service alle aziende che necessitano di soluzioni chiavi in mano interamente gestite. I clienti possono scegliere di gestire la propria cybersecurity direttamente con la piattaforma di Sophos per le operazioni di sicurezza o di adottare un approccio ibrido, integrando i propri servizi con quelli di Sophos, come il threat hunting e la remediation. Sophos distribuisce i propri prodotti attraverso partner e fornitori di servizi gestiti (MSP) in tutto il mondo. Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.