Giunto alla sua dodicesima edizione, il report FireEye Mandiant M-Trends 2021 offre dettagli di rilievo sui trend di attacco utilizzati dagli hacker, sui malware, sulla proliferazione di svariate attività di estorsione, sui ransomware, sugli aggressori UNC2452/SUNBURST e, infine, sull’aumento degli insider threat e sui nuovi trend di attacco in questo periodo di pandemia.
A livello globale, negli ultimi dieci anni, Mandiant ha osservato una decrescita costante del dwell time (tempo che un attaccante passa all’interno di una rete aziendale prima di essere individuato) che è passato da oltre l’anno, dato del 2011, ai soli 24 giorni del 2020. Si tratta di una velocità di identificazione doppia rispetto al report dello scorso anno quando il dwell time medio globale era di 56 giorni. Mandiant attribuisce questa riduzione al continuo sviluppo e al miglioramento delle capacità organizzative di rilevamento e risposta delle organizzazioni per affrontare le molteplici attività di estorsione e le intrusioni ransomware.
Il dwell time medio varia in base alla regione. Il continente Americano continua la decrescita e il dwell time medio, relativo a incidenti rilevati internamente, è sceso da 32 giorni a soli 9. È la prima volta da quando viene monitorato che si registra un dwell time a una cifra.
Al contrario, le aree APAC ed EMEA hanno registrato un complessivo aumento del dwell time medio. Secondo Mandiant, questo dato è dovuto al maggior numero di intrusioni non rilevate in queste regioni e al fatto che i dwell time in diversi casi sono stati superiori ai 3 anni.
Mentre il report dello scorso anno aveva evidenziato un calo delle detection interne rispetto al precedente, Mandiant osserva ora un aumento delle organizzazioni in grado di individuare gli attacchi in modo autonomo e indipendente. Il rilevamento interno degli incidenti è salito al 59% nel 2020, un aumento di 12 punti rispetto al 2019. Questo incremento delle rilevazioni interne è in linea con la tendenza generale osservata nel corso degli ultimi cinque anni.
In particolare, il rilevamento interno è risultato in aumento in tutte le regioni anno dopo anno. Le organizzazioni situate nel continente Americano hanno guidato questo trend con un 61% seguite da EMEA al 53% e APAC 52%. Le organizzazioni localizzate nelle aree APAC ed EMEA hanno ricevuto un numero più alto di notifiche di compromissione da enti esterni, rispetto alle organizzazioni Americane.
I primi cinque settori più colpiti sono stati: servizi commerciali e professionali, retail&hospitality, finanza, sanità e high-tech.
Mandiant ha osservato che le aziende del settore Retail&Hospitality sono state maggiormente colpite nel corso del 2020, scalando la classifica fino a raggiungere il secondo posto rispetto all’undicesimo dell’anno precedente. Anche la Sanità ha subito un numero maggiore di attacchi, diventando il terzo settore più colpito, rispetto all’ottavo posto dello scorso anno. Questa maggiore attenzione da parte degli attaccanti è spiegata dal ruolo vitale che il settore sanitario ha giocato durante la pandemia globale.
“Mentre le organizzazioni continuano a migliorare la capacità interna di rilevare le compromissioni, essere in grado di contenere gli avversari presenta sfide del tutto nuove. Le conseguenze della pandemia globale hanno costretto le aziende a ripensare la propria operatività con una forza lavoro attiva da remoto. Questo ha fatto sì che le infrastrutture VPN, le video-conference, le piattaforme di collaborazione e di condivisione di file e materiali diventassero indispensabili e cambiassero la superficie e il perimetro di attacco delle organizzazioni. In molti casi, dipendenti senza adeguate qualifiche sono stati trasformati improvvisamente in responsabili della connettività e della sicurezza cyber. Le aziende che si occupano di Servizi Professionali e di Servizi alle Aziende sono tra i primi cinque settori colpiti a partire dal 2016, crediamo che l’aumento dei servizi aziendali necessari per lo svolgimento dell’attività lavorativa da remoto abbia reso questo settore il più colpito nel 2020 sia da parte di cyber criminali sia tramite attacchi state-sponsored”, ha dichiarato Jurgen Kutscher, Executive Vice President, Service Delivery, Mandiant.
“Le attività di estorsione e i ransomware sono le minacce più diffuse per le organizzazioni. Nel report di quest’anno la motivazione per almeno il 36% delle intrusioni esaminate è di natura finanziaria. Il furto di dati e la rivendita degli accessi non autorizzati alle reti delle vittime rimangono elevati, gli aggressori che hanno compiuto attività di estorsione e diffuso ransomware hanno preso di mira le organizzazioni che sono maggiormente propense a pagare grandi somme di denaro per il riscatto. Le organizzazioni si trovano così ad intraprendere azioni proattive per ridurre il rischio di un potenziale impatto sulle loro attività” ha affermato Charles Carmakal, Senior Vice President and Chief Technology Officer, Mandiant.
“UNC2452, il gruppo di aggressori responsabili dell’attacco alla supply chain di SolarWinds, ci ricorda che un attaccante disciplinato e paziente non deve essere sottovalutato. L’attenzione di questo gruppo alla sicurezza cyber, all’analisi forense e al controspionaggio lo distingue da altri gruppi. La difesa contro questi aggressori non sarà facile, ma di sicuro non è impossibile. Abbiamo imparato molto su UNC2452 negli ultimi mesi e crediamo che l’intelligence che ne è derivata sarà il nostro vantaggio quando avremo modo di rilevarlo nuovamente” ha aggiunto Sandra Joyce, Executive Vice President, Global Threat Intelligence, Mandiant.
“Il Report M-Trends di quest’anno ha individuato i tre vettori iniziali di compromissione utilizzati più frequentemente: exploit (29%), email di phishing (23%), credenziali rubate o attività di forza (19%). Mentre il phishing resta un vettore che piace agli aggressori, abbiamo rilevato un maggior numero di hacker sfruttare exploit per compromettere le vittime. L’aumento dell’utilizzo degli exploit dovrebbe ricordare alle organizzazioni la necessità di possedere un piano forte per la gestione delle vulnerabilità. Una delle sfide è identificare quali fonti e informazioni sono disponibili per prendere le migliori decisioni basate sul calcolo del rischio, capire quando dare priorità a sistemi o applicazioni specifiche, quali patch applicare subito e quando rimandarle in base alla presenza di exploit e al tipo di target da parte degli attaccanti” ha continuato Jurgen Kutscher, Executive Vice President, Service Delivery, Mandiant.
“Abbiamo continuato a vedere gruppi di criminali informatici che utilizzano strumenti disponibili pubblicamente con l’obiettivo di ‘mimetizzarsi’ e di non farsi riconoscere. L’utilizzo di tool disponibili commercialmente, spesso utilizzati dai red team e penetration tester, permette agli aggressori di confondersi con coloro che eseguono i test di sicurezza. In aggiunta, questo rende l’attribuzione più complessa. Nel report di quest’anno, il 24% delle intrusioni analizzate ha coinvolto l’utilizzo di BEACON, strumento commerciale parte della piattaforma software Cobalt Strike e comunemente utilizzato per le attività di pentesting nelle reti. Abbiamo rilevato che BEACON è stato utilizzato da un ampio numero di aggressori tra cui, APT19, APT32, APT40, APT41, FIN6, FIN7, FIN9 e FIN11, così come da quasi 300 gruppi non ancora categorizzati” ha concluso Charles Carmakal, Senior Vice President and Chief Technology Officer, Mandiant.