Le più comuni cause dei cyberattacchi hanno origine nelle vulnerabilità non risolte
e nella compromissione di credenziali, mentre il ransomware mantiene il suo ruolo da protagonista

Il tempo di permanenza – dall'inizio dell'attacco al momento in cui viene rilevato – è sceso da 15 a 10 giorni

Milano — Aprile 25, 2023 —

Sophos, leader globale nell'innovazione e nell'erogazione della cybersicurezza as-a-service, ha reso noto quanto emerso dal nuovo rapporto “Active Adversary Report for Business Leaders”, una panoramica approfondita sull'evoluzione dei comportamenti e delle tecniche di attacco che hanno caratterizzato l'attività dei cybercriminali nel 2022.

Questo rapporto si basa sull'analisi di oltre 150 interventi di Incident Response (IR) gestiti da Sophos, che hanno permesso di identificare più di 500 tool e tecniche tra cui 118 file binari di tipo “Living off the Land” (LOLBin).

A differenza del malware, i LOLBin sono file eseguibili che si trovano naturalmente all'interno dei sistemi operativi e questo li rende assai più difficili da bloccare quando gli autori degli attacchi li sfruttano per le loro attività illecite.

Sophos ha inoltre rilevato come le vulnerabilità non risolte siano la più frequente causa primaria di accesso iniziale a un sistema: nella metà dei casi studiati dal report, infatti, i cybercriminali hanno sfruttato le vulnerabilità ProxyShell e Log4Shell (vulnerabilità risalenti al 2021) per infiltrarsi nelle reti delle loro vittime.

La seconda causa più comune evidenziata dagli esperti di Sophos è l'utilizzo di credenziali compromesse.

“Quando gli autori degli attacchi non forzano i sistemi per accedervi, è perché riesco ad entrare con un normale login. La realtà è che lo scenario è cresciuto di volume e complessità fino al punto in cui dalla prospettiva dei responsabili della protezione delle reti, non vi sono punti deboli evidenziabili. Per la maggior parte delle aziende, i tempi in cui ci si poteva muovere autonomamente sono finiti. Oggi si trovano a dover affrontare minacce e attacchi di ogni tipo, ovunque e contemporaneamente. Esistono tuttavia tool e servizi che le aziende possono utilizzare per alleggerire parte del loro carico difensivo così da potersi concentrare sulle priorità del loro core business”, dichiara John Shier, field CTO, commercial di Sophos.

In più di due terzi degli attacchi analizzati dal team Sophos IR (68%) è coinvolto il ransomware, a dimostrazione di come questo fenomeno sia ancora una delle minacce più attuali per le aziende. Il ransomware è anche responsabile di quasi tre quarti delle attività di investigazione svolte dal team di Sophos IR nell'ultimo triennio.

Anche se il ransomware continua a dominare lo scenario delle minacce, il tempo di permanenza dei cybercriminali nel 2022 è sceso da 15 a 10 giorni per ogni tipologia di attacco. Nel caso del ransomware, il tempo di permanenza è passato da 11 a 9 giorni, mentre la riduzione è stata ancora più netta per gli attacchi diversi dal ransomware, ridottisi dai 34 giorni del 2021 ai soli 11 giorni del 2022.

Tuttavia, a differenza degli anni passati, non è stata riscontrata una variazione significativa dei tempi di permanenza paragonando aziende o settori di dimensioni differenti.

“Le aziende che hanno implementato con successo difese stratificate costantemente monitorate stanno registrando risultati migliori se si considera la gravità degli attacchi. L'effetto collaterale di un miglioramento delle difese è quello di costringere gli avversari a muoversi più rapidamente per portare a compimento i loro attacchi. La conseguenza è che attacchi più rapidi hanno bisogno di essere rilevati prima. La sfida tra autori dell’attacco e difensori proseguirà nella sua escalation e chi non dispone di un monitoraggio proattivo ne pagherà gli effetti più pesanti”, ha concluso Shier.

Lo studio “Sophos Active Adversary Report for Business Leaders” è basato sull'analisi di 152 interventi IR (Incident Response) effettuati in tutto il mondo in 22 diversi settori di mercati.

 

Le aziende colpite sono di 31 Paesi differenti: Stati Uniti, Canada, Regno Unito, Germania, Svizzera, Italia, Austria, Finlandia, Belgio, Svezia, Romania, Spagna, Australia, Nuova Zelanda, Singapore, Giappone, Hong

Kong, India, Thailandia, Filippine, Qatar, Bahrain, Arabia Saudita, Emirati Arabi Uniti, Kenya, Somalia, Nigeria, Sudafrica, Messico, Brasile e Colombia. I settori più rappresentati dallo studio sono l'industria (20%), la sanità (12%), la scuola (9%) e il retail (8%).

Sophos Active Adversary Report for Business Leaders fornisce alle aziende insight pratici e threat intelligence con cui poter ottimizzare le strategie e le difese di sicurezza.

Per approfondire i comportamenti, i tool e le tecniche degli attaccanti è possibile consultare il Sophos Active Adversary Report for Business Leaders su Sophos.com.

Informazioni su Sophos

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, tra cui servizi MDR (Managed Detection and Response) e incident response, mette a disposizione delle aziende un’ampia gamma di soluzioni di sicurezza per endpoint, network, email e cloud al fine di supportarle nella lotta ai cyber attacchi. In quanto uno dei principali provider di cybersecurity, Sophos protegge oltre 600.000 realtà e più di 100 milioni di utenti a livello globale da potenziali minacce, ransomware, phishing, malware e altro. I servizi e le soluzioni di Sophos vengono gestiti attraverso la console Sophos Central, basata su cloud, e si incentra su Sophos X-Ops, l'unità di threat intelligence cross-domain dell'azienda. Sophos X-Ops ottimizza l’intero ecosistema adattivo di cybersecurity di Sophos, che include un data lake centralizzato, che si avvale di una ricca serie di API aperti, resi disponibili ai clienti, ai partner, agli sviluppatori e ad altri fornitori di cyber security e information technology. Sophos fornisce cybersecurity as a service alle aziende che necessitano di soluzioni chiavi in mano interamente gestite. I clienti possono scegliere di gestire la propria cybersecurity direttamente con la piattaforma di Sophos per le operazioni di sicurezza o di adottare un approccio ibrido, integrando i propri servizi con quelli di Sophos, come il threat hunting e la remediation. Sophos distribuisce i propri prodotti attraverso partner e fornitori di servizi gestiti (MSP) in tutto il mondo. Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.