Nuove strategie, astuzie e maggiore velocità negli attacchi hanno caratterizzato il panorama delle minacce informatiche nel 2023. Anche nel corso del 2024 lo scenario continua a evolvere: si amplia la portata degli attacchi, con i cybercriminali che espandono da un lato l’uso di tattiche collaudate e dall’altro mettono in campo nuove tecniche sofisticate, riuscendo a muoversi tra domini diversi – come identità, cloud, endpoint – per rendere le loro attività difficili da intercettare ed eludere gli strumenti di rilevamento. Persiste l’abuso di credenziali e strumenti di monitoraggio e gestione remota e l’uso dell’intelligenza e di sistemi di threat intelligence negli attacchi si conferma una nuova leva con cui il cybercrime può definire strategie evolute e mettere in ulteriore difficoltà i responsabili della difesa.
A rilevare questi trend è il Threat Hunting Report 2024 di CrowdStrike, azienda che propone un modello di sicurezza avanzato attraverso una piattaforma cloud-native per proteggere le aree critiche di rischio aziendale. CrowdStrike OverWatch svolge in quest’ottica attività di profilazione e analisi approfondite su circa 245 eCrime identificati, intrusioni mirate e avversari hacktivisti, che supportano la società nello sventare le azioni del cybercrime e fronteggiare le minacce.
Minacce: trend, moventi, strategie e vittime
Dal rapporto annuale di CrowdStrike, basato su rilevazioni effettuate dal 1° luglio 2023 al 30 giugno 2024 a livello globale, emerge un incremento del 55% delle intrusioni interattive, ovvero quelle in cui gli avversari stabiliscono una presenza attiva all’interno di una rete target e i cybercriminali operano con attività hands-on-keyboard nell’ambiente della vittima.
Si tratta di intrusioni generalmente più sofisticate e difficili da rilevare rispetto agli attacchi automatizzati poiché chi sferra l’attacco si spaccia per un utente legittimo e bypassa i controlli di sicurezza tradizionali. In questo contesto, l’86% delle intrusioni interattive è relativo ad attività eCrime, eseguite cioè da soggetti che operano nell’ambito della criminalità informatica alla ricerca di guadagni economici, categoria che si contrappone alle intrusioni mirate, rappresentanti il restante 14%.
Se si guarda agli ambiti di mercato, a subire il maggiore incremento delle intrusioni interattive (+75%) è il settore sanitario, dove l’abbondanza di informazioni sensibili rende il comparto un obiettivo sempre più attrattivo per l’eCrime. Si conferma in costante aumento anche il numero di intrusioni interattive sul settore tecnologico, il più frequentemente preso di mira negli ultimi anni, con un incremento delle intrusioni del 60% nel periodo analizzato e su base annua. In questo settore, un caso particolare ha visto avversari nordcoreani spacciarsi per dipendenti statunitensi legittimi usando Famous Chollima, un cluster di attività badclone, insinuatosi in oltre 100 aziende tecnologiche, prevalentemente negli Stati Uniti. Sfruttando documenti d’identità falsificati o rubati, insider malevoli sono riusciti così ad ottenere impieghi come personale IT remoto, con l’obiettivo di esfiltrare dati e svolgere attività dannose.
In aumento del 70% l‘uso di strumenti di monitoraggio e gestione remota (Rmm – Remote monitoring management) da parte degli avversari, con il 27% del totale delle intrusioni interattive che sfrutta tali strumenti.
in Emea, Americhe e Apj, con il 25% dei casi di intrusione. La consulenza e i servizi professionali rappresentano il secondo settore più colpito dagli avversari a causa della grande quantità di informazioni sensibili, come piani strategici e segreti commerciali. Il terzo comparto nella lista dei 10 settori più frequentemente soggetti a intrusioni in area Emea è il manifatturiero, dove l’avversario attivo nell’eCrime Bitwise Spider è stato l’attore della minaccia più prolifico. Seguono, nell’ordine, i settori retail, servizi finanziari, PA, sanità, Tlc, energetico, industria & ingegneria.
“Da oltre un decennio, monitoriamo con attenzione i più prolifici attivisti hacker, cybercriminali e avversari degli stati-nazione – commenta Adam Meyers, head of Counter Adversary Operations di CrowdStrike –. Tracciando quasi 250 avversari nell’ultimo anno, è emerso un tema centrale: i gruppi criminali si focalizzano sempre più in intrusioni interattive e utilizzano tecniche cross-domain per eludere le detection e raggiungere i loro obiettivi. Il nostro threat-hunting, condotto e guidato da esperti “umani” in modo approfondito, alimenta direttamente gli algoritmi che potenziano la piattaforma Falcon, con intelligenza IA nativa, consentendoci di rimanere al passo rispetto alle minacce in continua evoluzione e continuare a fornire soluzioni di cybersecurity efficaci”.
© RIPRODUZIONE RISERVATA