A metà settembre ho pubblicato un’intervista a Luca Nilo Livrieri di CrowdStrike, proprio in concomitanza della pubblicazione del loro ultimo Threat Hunting Report 2021. Oggi ho la fortuna di ritornare sull’argomento, con un nuovo contenuto dell’esperto di cybersecurity, con considerazioni da fine dell’anno, affinché possano essere d’aiuto e di stimolo riflessivo per tutte le attività critiche che ci attendono nel 2022.
A causa della maggiore superficie di attacco, le aziende devono essere più consapevoli dei problemi di sicurezza da una varietà di angolazioni, secondo Manky (FortiGuard Lab). Uno di questi aspetti è l’edge abilitato al 5G e l’ambiente domestico in cui molte persone che lavorano in remoto accedono regolarmente a dispositivi intelligenti.
Ma torniamo sul report e condivido con voi le considerazioni di Luca Nilo Livrieri, che non può ovviamente evitare di soffermarsi sull’importanza degli attacchi ransom e ransomware.
Il pericolo di diventare vittime di un cyber attacco è in costante aumento, come evidenzia il report di CrowdStrike Falcon Overwatch “Nowhere To Hide, 2021 Threat Hunting Report” che in soli dodici mesi ha registrato un aumento del 60% dei tentativi di intrusione rispetto allo stesso periodo dell’anno precedente. Il report mette anche in luce come gli attaccanti del crimine informatico riescano ormai ad accedere in modo mirato alle reti critiche tre volte più velocemente rispetto al passato. Inoltre, il tempo medio di breakout ha subito un calo fino a tre volte inferiore rispetto al 2020, oggi infatti in soli 92 minuti un intruso riesce a muoversi dal punto di accesso iniziale verso altri sistemi della rete.
SaaS e doppia estorsione: le macrotendenze dell‘eCrime
I gruppi di eCrime, responsabili del 75% delle attività informatiche secondo quanto osservato dal team di esperti in threat hunting di CrowdStrike, continuano ad adattare tattiche, tecniche e procedure (TTPs) di attacco e intrusione, diventando sempre più veloci e sofisticati. In questo scenario, il Ransomware-as-a-Service (RaaS) gioca un ruolo centrale. Gli autori delle minacce possono acquistare sul dark web strumenti che, tra le altre cose, consentono di automatizzare i processi di attacco, come il movimento laterale nella rete target, con un conseguente impatto diretto sui tempi di breakout, riducendoli significativamente. Inoltre, il RaaS consente a criminali meno qualificati dal punto di vista tecnico, dunque non in grado di sviluppare un malware in autonomia, di avvalersi di questo modello di business rendendo più facile il reperimento di attacchi sofisticati, motivo per il quale il numero di attacchi informatici sta aumentando.
Un trend emergente nello scenario dell’eCrime e del ransomware è la doppia estorsione. I cybercriminali non usano più soltanto la crittografia dei dati per le richieste di riscatto, ma minacciano sempre più spesso le loro vittime di violarne i dati con l’obiettivo di ottenere il riscatto richiesto. Gli esperti hanno osservato come questa tecnica relativamente nuova stia diventando sempre più frequente nell’ecosistema dell’eCrime e sempre più diffusa tra gli operatori di ransomware, che la adottano per ottenere il denaro richiesto. Molti di questi gruppi criminali hanno anche creato speciali Data Leaks Sites (DLS) in cui rendere pubblici i dati rubati. Indrik Spider (EVIL CORP) è soltanto uno tra i player che traggono profitto da questo approccio.
Durante il periodo analizzato (luglio 2020 – giugno 2021), CrowdStrike ha osservato 13 gruppi di eCrime classificati dagli esperti come “Spider“. Il più attivo tra questi è Wizard Spider. Nato nel 2016, lo scorso anno è stato coinvolto in quasi il doppio degli attacchi hacker rispetto a qualsiasi altro gruppo di eCrime. Wizard Spider ha usato COBALT STRIKE in oltre metà dei casi. Altri strumenti utilizzati da questo gruppo includono il ransomware Ryuk, lo strumento di accesso backdoor di Windows BazarLoader e AdFind, lo strumento di discovery di Active Directory. Recentemente, Wizard Spider è stato anche riconosciuto responsabile di attacchi mirati con il ransomware Conti.
Cina, Corea del Nord e Iran: i gruppi più sponsorizzati dagli stati
Le attività cybercriminali a livello Nation-State, chiamate anche “intrusioni mirate“, vengono regolarmente osservate dagli esperti del team OverWatch di CrowdStrike e rappresentano circa un quarto del totale degli attacchi. Il raggio d’azione spazia dallo spionaggio informatico agli attacchi di sabotaggio sponsorizzato dagli stati, fino all’acquisto di valuta estera per sostenere un regime. L’industra delle telecomunicazioni è un target di particolare interesse ed è stata nel mirino del 40% circa degli attacchi avvenuti lo scorso anno. Questo settore è stato colpito ancora più duramente rispetto al comparto tecnologico, al mondo della sanità, alla pubblica amministrazione e all‘ambito scientifico. La maggior parte degli attacchi al settore Telco è stata realizzata da gruppi legati alla Cina chiamati PANDAS, ma sono stati identificati anche autori con un background Iraniano (KITTEN). Gli attacchi mirati possono essere usati dai gruppi per realizzare missioni di ricognizione, intelligence e controspionaggio. Una difesa informatica completa e proattiva, in grado di rilevare e contrastare con successo queste attività cybercriminali è necessaria, specialmente per le infrastrutture critiche.
Il numero in constante aumento di attività informatiche conferma ancora una volta l’importanza, per le aziende, di dotarsi di una strategia di threat hunting completa e proattiva, specialmente in un contesto in cui – secondo gli esperti del team OverWatch – non tutti i tentativi di attacco possono essere attribuiti ai gruppi avversari rilevati dall’Intelligence di CrowdStrike. Questo sottolinea il carattere sempre più eterogeneo dello scenario delle minacce informatiche e la necessità di apprendere quanto più possibile dalle singole minacce. Per contrastare prontamente le tattiche e le tecniche degli attaccanti informatici moderni è necessario fare affidamento con urgenza non solo sulle ultime tecnologie, ma anche sul know-how degli esperti e sulla caccia attiva alle minacce.