CrowdStrike ha annunciato la quarta edizione del report annuale sul threat hunting di CrowdStrike Falcon OverWatch: Nowhere to Hide: 2022 Falcon OverWatch Threat Hunting Report. Il rapport globale rivela un aumento record anno su anno del 50% dei tentativi di intrusione, distinti cambiamenti nelle tendenze di attacco e dello spionaggio degli avversari. In particolare, gli esperti in threat hunting di Falcon OverWatch hanno identificato oltre 77 mila potenziali intrusioni, approssimativamente una potenziale intrusione ogni sette minuti. Si tratta di casi in cui l’attività di caccia alle minacce proattiva e affidata all’uomo ha scoperto avversari che eseguono attivamente tecniche dannose in varie fasi della catena di attacco, nonostante i migliori sforzi degli aggressori per eludere i metodi di rilevamento autonomi.
Falcon OverWatch ha calcolato che il tempo di breakout – il tempo impiegato da un avversario per muoversi lateralmente da un punto di accesso iniziale verso altri sistemi della rete – degli avversi di eCrime è sceso a 1 ora e 24 minuti, rispetto all’ora e 38 minuti, come riportato nel 2022 CrowdStrike Global Threat Report da Falcon OverWatch. Inoltre, Falcon OverWatch ha scoperto che in circa un terzo (30%) delle intrusioni di eCrime, l’avversario era in grado di muoversi lateralmente in meno di 30 minuti. Queste evidenze sottolineano la velocità e la scala con cui questi autori cybercriminali evolvono le loro tattiche, tecniche e procedure (TTPs) e sono capaci di eludere anche i più sofisticati sistemi di difesa per perseguire con successo i loro obiettivi.
Come sottolineato in una nota ufficiale da Param Singh, vice president, Falcon OverWatch at CrowdStrike: «Negli ultimi 12 mesi il mondo ha affrontato nuove sfide determinate dalle pressioni economiche e dalle tensioni geopolitiche, che hanno reso lo scenario delle minacce informatiche più complicato che mai. Per contrastare le minacce più dannose, gli esperti in sicurezza informatica devono implementare soluzioni che ricerchino proattivamente potenziali attacchi nascosti e avanzati ogni ora, ogni giorno. La combinazione della piattaforma CrowdStrike Falcon con la telemetria, gli strumenti, la threat intelligence e l’ingegno umano di Falcon OverWatch, protegge le imprese a livello globale dalle minacce informatiche più sofisticate e nascoste».
I principali risultati emersi dal report CrowdStrike includono:
- l’eCrime è la minaccia principale per le campagne di intrusione interattiva. L’eCrime rappresenta il 43% delle intrusioni interattive, mentre le attività state-nexus si attestano al 18%. Gli hacktivisti rappresentano solo l’1% delle campagne di intrusione interattiva, mentre la percentuale restante non è stata attribuita.
- Gli avversari continuano ad allontanarsi dal malware. Le minacce prive di malware rappresentano il 71% di tutti i rilevamenti indicizzati dal CrowdStrike Threat Graph. La predominanza di attività malware-free è legata, in parte, al prolifico abuso di credenziali valide da parte degli avversari per facilitare l’accesso e la persistenza negli ambienti delle vittime. Un altro fattore riguarda è la velocità con cui nuove vulnerabilità vengono divulgate e con cui gli avversari sono in grafo di rendere operativi gli exploit.
- Il settore tecnologico figura come quello più preso di mira per le intrusioni interattive. I cinque settori principali presi di mira dalle intrusioni sono quello tecnologico (19%), telecomunicazioni (10%), manifatturiero (7%), istruzione (7%) e sanitario (7%). È importante constatare come il settore tecnologico sia quello colpito il 90% in più dalle intrusioni interattive, rispetto al settore che si posiziona al secondo posto.
- Le telecomunicazioni sono quelle più colpite dalle intrusioni da parte degli autori sponsorizzati dagli Stati-Nazione. I primi cinque settori presi di mira da questo tipo di intrusione sono le telecomunicazioni (37%), tecnologico (14%), pubblica amministrazione (9%), istruzione (5%) e media (4,5%). Le telecomunicazioni continuano ad essere nel mirino per soddisfare le priorità di sorveglianza, intelligence e controspionaggio sponsorizzate dallo Stato. In particolare, il settore Telco è stato colpito il 163% più frequentemente dalle intrusioni state-nexus rispetto al settore che si posiziona al secondo posto.
- Il settore sanitario si trova nel mirino degli affiliati al Ransomware-as-a-Service (RaaS). Il volume di tentativi di intrusioni interattive contro questo settore è raddoppiato anno su anno. Un numero significativo di queste intrusioni è stato attribuito all’eCrime.
Il report include insight dalle operazioni globali di threat hunting di Falcon OverWatch a partire dal 1° luglio 2021 fino al 30 giugno 2022. Presenta dati e analisi approfondite sugli attacchi, casi di studio e raccomandazioni attuabili.