Gli aggressori informatici trascorrono più tempo all’interno dei sistemi aziendali dopo averli violati. Secondo un nuovo rapporto della società di sicurezza informatica Sophos, lo scorso anno gli attori delle minacce hanno trascorso una media di 15 giorni all’interno delle reti delle vittime, con un aumento di oltre il 36% rispetto all’anno precedente.
Questo concetto si chiama “tempo di permanenza“, ovvero il lasso di tempo che intercorre tra l’intrusione iniziale ipotizzata e il rilevamento di un’intrusione. L’assunto comune è che quanto più breve è il tempo di permanenza, tanto minore è il danno che può essere arrecato, e quindi la sua importanza.
Secondo Sophos, lo sfruttamento di massa delle vulnerabilità ProxyLogon e ProxyShell in Microsoft Exchange Server da parte dei broker di accesso iniziale (IAB) sembra aver determinato un aumento sostanziale dei tempi di permanenza mediani.
Zero-day: perchè sono cresciuti nell’ultimo anno? Di chi è la colpa?
Secondo la società di sicurezza informatica, il tempo di permanenza è stato più lungo per le organizzazioni più piccole: 51 giorni nelle PMI con un massimo di 250 dipendenti contro 20 giorni nelle organizzazioni con 3.000-5.000 dipendenti.
“Gli aggressori considerano le organizzazioni più grandi di maggior valore, quindi sono più motivati a entrare, ottenere ciò che vogliono e uscire. Le organizzazioni più piccole hanno un “valore” percepito minore, quindi gli aggressori possono permettersi di rimanere in agguato nella rete in background per un periodo più lungo“, ha dichiarato John Shier, senior security advisor di Sophos.
È anche possibile che questi aggressori fossero meno esperti e avessero bisogno di più tempo per capire cosa fare una volta entrati nella rete”. Allo stesso tempo, le organizzazioni più piccole hanno di solito meno visibilità lungo la catena di attacco per rilevare ed espellere gli aggressori, prolungando la loro presenza“, ha affermato.
In molti casi, più avversari, tra cui attori di ransomware, IAB, crypto-miner e altri, hanno preso di mira le stesse organizzazioni contemporaneamente, ha detto Shier, aggiungendo che “se la rete è affollata, gli aggressori vorranno muoversi velocemente per battere la concorrenza”.
I dati differiscono in qualche modo da un’altra ricerca condotta dalla società di cybersicurezza Mandiant, pubblicata in aprile. Il rapporto ha rivelato che il tempo di permanenza è diminuito a livello globale di quasi il 13% nello stesso periodo, passando a 21 giorni. Tuttavia, la ricerca ha anche rilevato che gli aggressori di estorsioni e ransomware multiforme utilizzano costantemente nuove tecniche e procedure nei loro attacchi, tra cui il bersaglio della virtualizzazione.
Il rilevamento e la risposta avanzati sembrano essere carenti in molte organizzazioni. Sebbene Sophos abbia registrato un calo nello sfruttamento del protocollo RDP (Remote Desktop Protocol) per l’accesso iniziale, dal 32% del 2020 al 13% dello scorso anno, il suo utilizzo per gli spostamenti laterali è aumentato dal 69% all’82% nel periodo.
Altri strumenti e tecniche comunemente rilevati sono stati: PowerShell e script dannosi non-PowerShell, combinati nel 64% dei casi; PowerShell e Cobalt Strike (56%); PowerShell e PsExec (51%).
Secondo Sophos, il rilevamento della presenza di tali correlazioni potrebbe aiutare le aziende a individuare i primi segnali di allarme di una violazione.
Apt cinese sfrutta falla firewall Sophos per colpire nel sud Est Asiatico
SEO Poisoning scoperto da Mandiant. Attenzione ai programmi che si scaricano
