CrowdStrike Threat Hunting Report 2023: i pirati informatici sono sempre più abili e aggressivi

Non c’è niente da fare, gli attacchi informatici sono sempre più aggressivi, evoluti e frequenti. Stando all’ultimo report annuale di CrowdStrike sulle tendenze e le tecniche di attacco degli avversari informatici rilevati dagli esperti in threat hunting d’élite e dagli analisti di intelligence dell’azienda di sicurezza informatica, da luglio 2022 a giugno 2023 si sono registrati alcuni dati davvero preoccupanti. Vediamo nel dettaglio i principali.

• È stato registrato un importante aumento (583%) degli attacchi all’identità di Kerberoasting, quasi sei volte rispetto agli attacchi dello stesso tipo avvenuto l’anno precedente. Kerberoasting è una tecnica che consente ai cybercriminali di ottenere credenziali valide (spesso con privilegi elevati) per gli account dei servizi Active Directory. Ciò consente agli attaccanti di non essere rilevati negli ambienti delle vittime per periodi di tempo più lunghi. A livello generale, il 62% di tutte le intrusioni interattive ha riguardato l’abuso di account validi, mentre si è verificato un aumento del 160% dei tentativi di ottenimento delle chiavi di accesso e di altre credenziali tramite le API dei metadati delle istanze cloud.
• L’aumento degli attacchi che hanno sfruttato strumenti legittimi di accesso remoto/gestione remota è stato pari al 312% anno su anno. Gli avversari usano sempre più applicazioni legittime di gestione remota dell’IT, note per saper aggirare il rilevamento e nascondersi nell’ambiente aziendale, al fine di ottenere l’accesso ai dati sensibili, distribuire ransomware o installare tattiche di follow-up su misura.
• Gli attaccanti stanno diventando sempre più abili, tanto che il tempo che impiegano per muoversi lateralmente da un primo punto di compromissione a un altro host (questo tempo viene definito breakout time) ha toccato il minimo mai registrato: 79 minuti. Nel 2022 era di 84 minuti. Inoltre, il breakout time più rapido registrato quest’anno è stato di soli 7 minuti.
• I soldi, le finanze… Il settore finanziario ha registrato un aumento dell’80% anno su anno delle intrusioni interattive, ovvero intrusioni che usano attività di hands-on-keyboard. Con questo termine si intendono quegli attacchi in cui, dopo aver avuto accesso al sistema trovando, per esempio, delle credenziali attraverso precedenti attacchi, tecniche di ingegneria sociale o tramite altri metodi, l’attaccante, senza usare sistemi automatizzati, si mette a cercare di fare movimenti laterali, un po’ come avveniva anni fa, insomma. Le intrusioni interattive sono aumentate complessivamente del 40%.
• Gli annunci di chi vende credenziali d’accesso “sottratte” (detti access-broker) sono aumentati del 147% sulle comunità criminali o clandestine: l’accesso immediato agli account validi in vendita facilita di molto il lavoro degli attori dell’e-Crime, cioè gli attaccanti che cercano di lucrare usando le informazioni ottenute, mentre consente agli avversari noti di affinare la loro tecnica di post-sfruttamento per raggiungere i loro obiettivi con maggiore efficienza.
• Neppure il cloud rimane illeso: l’uso da parte degli avversari dello strumento di escalation dei privilegi di Linux per sfruttare gli ambienti cloud è triplicato. Falcon OverWatch, il servizio di esperti in threat hunting di CrowdStrike, ha visto triplicare l’uso dello strumento Linux linPEAS, impiegato dai criminali per accedere ai metadati dell’ambiente cloud, agli attributi di rete e a varie credenziali da sfruttare.

Lente d’ingrandimento sull’area EMEA

CrowdStrike ha anche analizzato nel dettaglio la situazione dei Paesi nell’area EMEA (acronimo dell’inglese Europe, Middle East, and Africa – Europa, Medio Oriente e Africa). Dall’analisi si nota che il settore più attaccato è stato quello tecnologico seguito da finanza e telecomunicazioni.

Un particolare curioso è che gli attacchi al settore delle telco (il 10% del totale in EMEA), sono in gran parte attribuiti al gruppo Iran-nexus (KITTEN), che si suppone essere collegato al Corpo delle Guardie della Rivoluzione Islamica.