Immagine di DC Studio su Freepik
Il 2024 è stato un anno impegnativo per i responsabili della sicurezza delle piccole e medie imprese a livello globale. Oltre alle consuete minacce e all’intensificarsi della guerra tra attaccanti e difensori, si diffondono infatti in questo mercato alcune attività più insidiose e difficili da intercettare. Tra queste emerge in particolare il forte aumento nell’uso della tecnica di attacco definita “living off the land” (o LOLbin), relativa soprattutto al sistema operativo Microsoft Windows, sebbene l’abuso avvenga anche in altri sistemi operativi. A rilevare questo trend è Sophos nel suo “The Bite from Inside: The Sophos Active Adversary Report” nel quale il player della sicurezza analizza i comportamenti e le tecniche utilizzati dai cybercriminali nel primo semestre del 2024.
I dati, relativi a circa 200 casi di risposta a incidenti seguiti dai team Sophos X-Ops IR e Sophos X-Ops Mdr, mostrano in particolare come gli autori degli attacchi stiano sfruttando applicazioni e tool legittimi presenti nei sistemi Windows per esaminare i sistemi stessi e mantenere una presenza persistente al loro interno. Nel campione, l’80% dei dati deriva da organizzazioni con meno di 1000 dipendenti appartenenti a 29 settori industriali, con una prevalenza di aziende del settore manifatturiero, il più propenso a richiedere i servizi di risposta Sophos X-Ops, sebbene la percentuale di clienti provenienti dal settore sia in forte calo, dal 25% nel 2023 al 14% nella prima metà del 2024. Edilizia (10%), istruzione (8%), IT (8%) e sanità (7%) completano i primi cinque settori.
Cyberattacchi invisibili, +51% dei LOLbin
I LOLbin, file binari legittimi ma abusati già presenti sulla macchina o comunemente scaricati da fonti legittime associate al sistema operativo, fanno da sempre parte del panorama dell’active adversary, cybercriminali dotati di competenze elevate. Queste tecniche di intrusione si contrappongono ai pacchetti di terze parti introdotti nel sistema in modo illegittimo dagli aggressori (come Mimikatz, Cobalt Strike, Anydesk) che registrano nel periodo analizzato un aumento più modesto, rileva Sophos.
Essendo file legittimi e firmati, i LOLbin possono essere usati in modi apparentemente innocui e hanno meno probabilità di attirare l’attenzione di un amministratore di sistema. Per questo, l’uso di LOLbin registra un’impennata. Infatti, dopo anni di lento aumento nel loro utilizzo, nella prima metà del 2024, Sophos rileva 187 LOLbin Microsoft univoci utilizzati tra i 190 casi, oltre un terzo di essi (64) che compaiono solo una volta nel set di dati. Ciò rappresenta un aumento del +51% di attacchi con applicazioni legittime nel 2024 rispetto al 2023. Un trend che nell’arco temporale tra il 2021 e la prima metà del 2024, vede il numero totale di attacchi LOLbin aumentare dell’83%.
Nel complesso è in aumento sia l’uso di artefatti che di LOLbin, con un tendenziale allineamento tra le due tipologie di attacchi. Solo tre anni fa, le statistiche del 2021 mostravano che gli artefatti erano più del doppio più comuni dei LOLbin, mentre ora il rapporto è molto più vicino, in una proporzione di 5:4.
Sophos segnala inoltre che tra i 187 singoli LOLbins Microsoft rilevati nella prima metà dell’anno, l’applicazione legittima più frequentemente sfruttata dai cybercriminali è Rdp (remote desktop protocol). L’abuso di Rdp è registrato nell’89% dei circa 200 casi IR analizzati, confermando una tendenza osservata inizialmente nel 2023.
“La tecnica living off the land non solo permette di mascherare le attività di un cybercriminale ma fornisce anche una tacita approvazione delle relative azioni” commenta John Shier, field Cto di Sophos. Se l’abuso di alcuni tool legittimi può sollevare qualche dubbio e magari far suonare un campanello di allarme, l’abuso di un file binario Microsoft genera spesso l’effetto opposto. Molti dei tool Microsoft abusati fanno parte di Windows e la loro presenza è legittima, ma è compito degli amministratori di sistema capire il modo in cui essi vengono usati nei rispettivi ambienti e decidere cosa in particolare possa costituire un abuso”.
Ransomware dominanti
Rivolgendo l’attenzione al ransomware, il repot di Sophos rileva nel complesso una leggera diminuzione delle infezioni nella prima metà dell’anno. Per il team IR, il 61,54% dei casi gestiti ha coinvolto ransomware, rispetto al 70,13% del 2023. Il rallentamento è stato più che compensato dalle violazioni di rete, che hanno quasi raddoppiato la loro incidenza nei casi IR: 34,62% nel primo semestre 2024, rispetto al 18,83% del 2023. Il calo, sebbene reale, non è così pronunciato sull’intero anno prevedono gli analisti.
LockBit, gruppo specializzato in ransomware, è ancora quello maggiormente presente nelle analisi, essendo responsabile di circa il 21% delle infezioni registrate nella prima metà del 2024. Il LockBit è stato il ransomware dominante del 2023, ma essendo stato oggetto di un’interruzione delle forze dell’ordine a fine febbraio 2024 registrerà un calo nei mesi a seguire, rileva Sophos.
Sophos Mdr, contrasto alle violazioni di rete
Se si esaminano esclusivamente i casi riportati dal team Mdr di Sophos, le violazioni di rete rappresentano il tipo di incidente più frequente. Il team Mdr ha infatti gestito nel semestre principalmente violazioni di rete, con solo il 25,36% dei casi attribuiti a ransomware.
Proseguendo una tendenza apparsa inizialmente nel 2023, la compromissione delle credenziali è tuttora la più diffusa causa originaria degli attacchi, essendo responsabile del 39% dei casi analizzati; il dato del 2024 è tuttavia in discesa rispetto al 56% dell’anno precedente.
Per i team Mdr, inoltre, si accorcia il dwell time, intervallo di tempo che va dall’inizio di un attacco fino al suo rilevamento. Mentre nei casi gestiti dal team Sophos IR, il dwell time è rimasto a circa otto giorni, con Mdr, il valore mediano è di un solo giorno per tutte le tipologie di incidente e di tre giorni per gli attacchi ransomware.
Come ulteriore criticità, Sophos segnala che, i server Active Directory colpiti più spesso stanno arrivando al termine della vita operativa. I cybercriminali hanno colpito più frequentemente le versioni 2019, 2016 e 2012 dei server Active Directory che sono uscite dal programma di supporto Mainstream di Microsoft e si trovano vicine allo stato di end of life (Eol) senza più possibilità di ricevere patch salvo attraverso una assistenza a pagamento da parte di Microsoft stessa. Il 21% dei server Active Directory colpiti si trova già in una versione Eol.
“Senza una consapevolezza completa e contestuale dell’ambiente, compresa una continua vigilanza sugli eventi che possono emergere e svilupparsi all’interno della rete, i team IT rischiano di perdere di vista le attività pericolose che spesso rappresentano i prodromi del ransomware” commenta ancora Shier, ribadendo l’importanza per i professionisti della sicurezza di elevare l’attenzione sui principi fondamentali che possono mantenere le aziende più sicure e protette e l’impegno di Sophos nel supportare l’adozione di tali strategie.
© RIPRODUZIONE RISERVATA
