Nuove strategie, astuzie e maggiore velocità negli attacchi hanno caratterizzato il panorama delle minacce informatiche nel 2023. Anche nel corso del 2024 lo scenario continua a evolvere: si amplia la portata degli attacchi, con i cybercriminali che espandono da un lato l’uso di tattiche collaudate e dall’altro mettono in campo nuove tecniche sofisticate, riuscendo a muoversi tra domini diversi – come identità, cloud, endpoint – per rendere le loro attività difficili da intercettare ed eludere gli strumenti di rilevamento. Persiste l’abuso di credenziali e strumenti di monitoraggio e gestione remota e l’uso dell’intelligenza e di sistemi di threat intelligence negli attacchi si conferma una nuova leva con cui il cybercrime può definire strategie evolute e mettere in ulteriore difficoltà i responsabili della difesa.

A rilevare questi trend è il Threat Hunting Report 2024 di CrowdStrike, azienda che propone un modello di sicurezza avanzato attraverso una piattaforma cloud-native per proteggere le aree critiche di rischio aziendale. CrowdStrike OverWatch svolge in quest’ottica attività di profilazione e analisi approfondite su circa 245 eCrime identificati, intrusioni mirate e avversari hacktivisti, che supportano la società nello sventare le azioni del cybercrime e fronteggiare le minacce. 

Minacce: trend, moventi, strategie e vittime

Dal rapporto annuale di CrowdStrike, basato su rilevazioni effettuate dal 1° luglio 2023 al 30 giugno 2024 a livello globale, emerge un incremento del 55% delle intrusioni interattive, ovvero quelle in cui gli avversari stabiliscono una presenza attiva all’interno di una rete target e i cybercriminali operano con attività hands-on-keyboard nell’ambiente della vittima.

Fonte: Threat Hunting Report 2024 di CrowdStrike – Andamento intrusioni interattive negli ultimi due anni 

Si tratta di intrusioni generalmente più sofisticate e difficili da rilevare rispetto agli attacchi automatizzati poiché chi sferra l’attacco si spaccia per un utente legittimo e bypassa i controlli di sicurezza tradizionali. In questo contesto, l’86% delle intrusioni interattive è relativo ad attività eCrime, eseguite cioè da soggetti che operano nell’ambito della criminalità informatica alla ricerca di guadagni economici, categoria che si contrappone alle intrusioni mirate, rappresentanti il restante 14%. 

Fonte: Threat Hunting Report 2024 di CrowdStrike
Fonte: Threat Hunting Report 2024 di CrowdStrike – Intrusioni interattive per movente

Se si guarda agli ambiti di mercato, a subire il maggiore incremento delle intrusioni interattive (+75%) è il settore sanitario, dove l’abbondanza di informazioni sensibili rende il comparto un obiettivo sempre più attrattivo per l’eCrime. Si conferma in costante aumento anche il numero di intrusioni interattive sul settore tecnologico, il più frequentemente preso di mira negli ultimi anni, con un incremento delle intrusioni del 60% nel periodo analizzato e su base annua. In questo settore, un caso particolare ha visto avversari nordcoreani spacciarsi per dipendenti statunitensi legittimi usando Famous Chollima, un cluster di attività badclone, insinuatosi in oltre 100 aziende tecnologiche, prevalentemente negli Stati Uniti. Sfruttando documenti d’identità falsificati o rubati, insider malevoli sono riusciti così ad ottenere impieghi come personale IT remoto, con l’obiettivo di esfiltrare dati e svolgere attività dannose.

In aumento del 70% l‘uso di strumenti di monitoraggio e gestione remota (Rmm – Remote monitoring management) da parte degli avversari, con il 27% del totale delle intrusioni interattive che sfrutta tali strumenti. 

Tra le principali tendenze delle intrusioni, si registra l‘ascesa degli attacchi cross-domain furtivi, usati per eludere il rilevamento e più difficili da riconoscere come malevoli. Questi attacchi lasciano infatti impronte minime in ogni dominio, come pezzi di puzzle separati e solo se combinate è possibile rivelare il quadro completo delle attività sospette, spiegano gli esperti di CrowdStrike.
 
Si intensificano le cosiddette “minacce ibride” che aprono nuove sfide. Il cybercrime rafforza infatti le strategie per passare da una piattaforma all’altra e utilizzare strumenti ugualmente efficaci su tutti i sistemi operativi. Gli avversari continuano a sfruttare le credenziali compromesse ottenute tramite social engineering o acquistate da access broker. Questa tecnica utilizza utilità di sistema integrate e applicazioni affidabili, rendendo più difficile, per le misure di sicurezza tradizionali, rilevare e bloccare l’attacco. Nascondendosi tra le normali operazioni, gli aggressori possono infatti mantenere un basso profilo ed estendere la propria presenza all’interno di una rete senza generare allarmi.
 
In crescita anche le competenze del cybercrime basate sul cloud. In questo ambito, Scattered Spider rimane la minaccia principale nelle intrusioni, al timone del 29% del totale delle attività osservate nel 2023. Nel corso del 2023 e del 2024, questo avversario ha sviluppato ulteriormente la capacità di navigare negli ambienti cloud, spesso utilizzando lo spear-phishing, le modifiche alle policy e l’accesso al gestore di password per ottenere l’accesso, mantenere la persistenza, spostarsi lateralmente ed esfiltrare i dati.
 
CrowdStrike, lo scenario europeo 
 
Guardando allo spaccato europeo, l’analisi di CrowdStrike mostra come per il settimo anno consecutivo, la tecnologia si conferma il settore più frequentemente preso di mira
in Emea, Americhe e Apj, con il 25% dei casi di intrusione. La consulenza e i servizi professionali rappresentano il secondo settore più colpito dagli avversari a causa della grande quantità di informazioni sensibili, come piani strategici e segreti commerciali. Il terzo comparto nella lista dei 10 settori più frequentemente soggetti a intrusioni in area Emea è il manifatturiero, dove l’avversario attivo nell’eCrime Bitwise Spider è stato l’attore della minaccia più prolifico. Seguono, nell’ordine, i settori retail, servizi finanziari, PA, sanità, Tlc, energetico, industria & ingegneria.
 
Threat Hunting Report 2024 di CrowdStrike
Fonte: Threat Hunting Report 2024 di CrowdStrike – Top 10 settori per frequenza di intrusione in area Emea
Sul fronte degli avversari, la mappa Emea mostra gli Iran-nexus (Kitten) come gli attori di minacce nazione-stato più prolifici nella regione, osservati in sette settori nella regione Emea, rispetto a uno nelle Americhe e due in Apj.
 
Fonte: Threat Hunting Report 2024 di CrowdStrike
Fonte: Threat Hunting Report 2024 di CrowdStrike – Tendenze delle intrusioni per avversario in area Emea e Nord America
Il 9% di tutte le intrusioni hands-on-keyboard in Emea vede coinvolto l’uso di strumenti Rmm. AnyDesk, TeamViewer e AteraAgent, i tre principali strumenti Rmm utilizzati nell’area, rappresentano il 74% delle osservazioni. Tali strumenti si confermano popolari tra il cybercrime perché non richiedono licenze per applicazioni “non commerciali”; offrono un’interfaccia facile da usare e funzionalità robuste e consentono di eludere il rilevamento, in particolare in ambienti in cui i reparti IT utilizzano strumenti Rmm per scopi aziendali.
 
Adam Meyers, head of Counter Adversary Operations di CrowdStrike

“Da oltre un decennio, monitoriamo con attenzione i più prolifici attivisti hacker, cybercriminali e avversari degli stati-nazione – commenta Adam Meyers, head of Counter Adversary Operations di CrowdStrike –. Tracciando quasi 250 avversari nell’ultimo anno, è emerso un tema centrale: i gruppi criminali si focalizzano sempre più in intrusioni interattive e utilizzano tecniche cross-domain per eludere le detection e raggiungere i loro obiettivi. Il nostro threat-hunting, condotto e guidato da esperti “umani” in modo approfondito, alimenta direttamente gli algoritmi che potenziano la piattaforma Falcon, con intelligenza IA nativa, consentendoci di rimanere al passo rispetto alle minacce in continua evoluzione e continuare a fornire soluzioni di cybersecurity efficaci”.

© RIPRODUZIONE RISERVATA

Condividi l'articolo: