Dal nuovo Sophos Active Adversary Report emerge anche come LockBit abbia dominato nella prima metà del 2024 nonostante gli interventi delle autorità

MILAN, IT — Dicembre 16, 2024 —

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, ha pubblicato oggi “The Bite from Inside: The Sophos Active Adversary Report”, uno sguardo approfondito sui comportamenti e sulle tecniche che i cybercriminali hanno utilizzato nella prima metà del 2024.

I dati, che scaturiscono da quasi 200 casi di risposta a incidenti (IR) seguiti dai teamSophos X-Ops IR e Sophos X-Ops Managed Detection and Response (MDR), mostrano come gli autori degli attacchi stiano sfruttando applicazioni e tool legittimi presenti nei sistemi Windows – una tecnica nota come “living off the land” – per esaminare i sistemi stessi e mantenere una presenza persistente al loro interno.

Sophos ha notato un incremento del 53% nell'uso di file binari “Living off the Land” (o LOLbins) rispetto al 2023; un dato che dal 2021 è aumentato dell'83%.

Tra i 187 singoli LOLbins Microsoft rilevati nella prima metà dell'anno, l'applicazione legittima più frequentemente sfruttata dai cybercriminali è stata RDP o Remote Desktop Protocol. L'abuso di RDP è stato registrato nell'89% dei quasi 200 casi IR analizzati. Questo predominio conserva una tendenza osservata inizialmente nel 2023 Active Adversary Report, nel quale l'abuso di RDP era apparso prevalente nel 90% di tutti i casi IR investigati.

“La tecnica living-off-the-land non solo permette di mascherare le attività di un cybercriminale ma fornisce anche una tacita approvazione delle relative azioni. Se l'abuso di alcuni tool legittimi può sollevare qualche dubbio e magari far suonare un campanello di allarme, l'abuso di un file binario Microsoft genera spesso l'effetto opposto. Molti dei tool Microsoft abusati fanno parte di Windows e la loro presenza è legittima, ma è compito degli amministratori di sistema capire il modo in cui essi vengono usati nei rispettivi ambienti e decidere cosa in particolare possa costituire un abuso. Senza una consapevolezza completa e contestuale dell'ambiente, compresa una continua vigilanza sugli eventi che possono emergere e svilupparsi all'interno della rete, i team IT rischiano di perdere di vista le attività pericolose che spesso rappresentano i prodromi del ransomware”, ha dichiarato John Shier, field CTO di Sophos.

Il report ha rilevato anche come, nonostante a febbraio le autorità avessero neutralizzato il sito e l'infrastruttura principali di LockBit, questo gruppo specializzato in ransomware sia ancora quello incontrato più frequentemente nelle analisi essendo responsabile di circa il 21% delle infezioni registrate nella prima metà del 2024.

Altri dati emersi dal nuovo Active Adversary Report:

  • La causa originaria degli attacchi: proseguendo una tendenza apparsa inizialmente nell' Active Adversary Report for Tech Leaders, la compromissione delle credenziali è tuttora la più diffusa causa originaria degli attacchi, essendo responsabile del 39% dei casi analizzati; il dato è tuttavia in discesa rispetto al 56% del 2023
  • Le violazioni di rete in cima alla lista del team MDR:quando si esaminano solamente i casi riportati dal team Sophos MDR, le violazioni di rete rappresentano il tipo di incidente più frequentemente incontrato
  • Il dwell time di accorcia per i team MDR: nei casi gestiti dal team Sophos IR, il dwell time (l'intervallo di tempo che va dall'inizio di un attacco fino al suo rilevamento) è rimasto fermo a circa otto giorni. Con MDR, invece, il valore mediano è di un solo giorno per tutte le tipologie di incidente e di soli tre giorni per gli attacchi ransomware
  • I server Active Directory colpiti più spesso stanno arrivando al termine della vita operativa:i cybercriminali hanno colpito più frequentemente le versioni 2019, 2016 e 2012 dei server Active Directory (AD). Tutte queste tre versioni sono uscite dal programma di supporto Mainstream di Microsoft e si trovano a un passo dallo stato end-of-life (EOL) senza più possibilità di ricevere patch salvo attraverso una assistenza a pagamento da parte di Microsoft stessa. Da aggiungere che il 21% dei server AD colpiti si trova già in una versione EOL

Per maggiori informazioni sui comportamenti, sui tool e sulle tecniche dei cybercriminali è possibile leggere “The Bite from Inside: The Sophos Active Adversary Report” al link https://news.sophos.com/en-us/2024/12/12/active-adversary-report-2024-12/ .

Informazioni su Sophos

Sophos è un leader globale e innovatore di soluzioni di sicurezza avanzate per sconfiggere gli attacchi informatici. L'azienda ha acquisito Secureworks il Febbraio 2025, unendo due pionieri che hanno ridefinito l'industria della cybersicurezza con i loro servizi, tecnologie e prodotti innovativi e ottimizzati grazie all'intelligenza artificiale nativa. Sophos è ora il più grande fornitore di servizi di Managed Detection and Response (MDR), a supporto di oltre 28.000 organizzazioni. Oltre a MDR e ad altri servizi, il portfoglio completo di Sophos comprende soluzioni leader di mercato per endpoint, network, email e cloud security che interagiscono attraverso la piattaforma Sophos Central e innalzano le barriere di sicurezza. Secureworks fornisce l'innovativa Taegis XDR/MDR, anch’essa leader di mercato, l’ identity threat detection and response (ITDR), le capacità SIEM di nuova generazione, il managed risk e un ampio set di Advisory Services. Sophos vende tutte queste soluzioni attraverso partner rivenditori, Managed Service Provider (MSP) e Managed Security Service Provider (MSSP) in tutto il mondo, difendendo oltre 600.000 organizzazioni da phishing, ransomware, furto di dati, altri crimini informatici quotidiani e state-sponsored. Le soluzioni sono alimentate dall'intelligence sulle minacce acquisita storicamente e in tempo reale di Sophos X-Ops e dal Counter Threat Unit (CTU) appena aggiunto. Sophos ha sede a Oxford, Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.