La nuova edizione del report M-Trends 2023 di Mandiant, parte di Google Cloud, rivela i progressi compiuti dalle organizzazioni a livello globale nel rafforzare le proprie difese contro attaccanti che sono sempre più avanzati.
Giunto alla quattordicesima edizione, questo report annuale fornisce dati aggiornati e contiene le analisi di esperti nel panorama delle minacce cyber, la fonte di questo report sono le attività di investigazione e di remediation svolte in prima linea di Mandiant durante la gestione degli attacchi informatici più rilevanti al mondo.
“Il report M-Trends 2023 mostra chiaramente che, nonostante sempre più attività di sicurezza informatica prendono piede, stiamo combattendo contro attaccanti in continua evoluzione e sempre più sofisticati”, dichiara Jurgen Kutscher, VP, Mandiant Consulting at Google Cloud. “Diversi trend osservati nel 2021 sono proseguiti nel 2022, come il crescente numero di nuove famiglie di malware e l’aumento dello spionaggio informatico da parte di attaccanti Nation-state. Di conseguenza, le organizzazioni devono proseguire nel migliorare la loro postura di sicurezza informatica integrandola con moderne capacità di difesa. La continua validazione della propria resilienza informatica contro le minacce e la verifica della capacità di risposta delle organizzazioni sono altrettanto fondamentali”.
Il dwell time medio globale si riduce a poco più di due settimane
Secondo il report M-Trends 2023, il dwell time medio globale – calcolato come il numero medio di giorni in cui un attaccante è presente nell’ambiente dei sistemi di una vittima prima di essere individuato – prosegue la decrescita di anno in anno fino a raggiungere i 16 giorni nel 2022. Si tratta del dwell time medio più basso di tutti i periodi di riferimento dell’M-Trends, il dwell time medio nel 2021 era di 21 giorni.
Confrontando le diverse modalità di rilevamento delle minacce, Mandiant ha osservato un aumento generale del numero di organizzazioni che sono state avvisate da un ente esterno (e.g., CERT nazionali etc.) di aver subito o di avere in corso una compromissione. Le organizzazioni con sede in America sono state avvisate da un ente esterno nel 55% degli incidenti, rispetto al 40% dello scorso anno. Si tratta della percentuale più elevata di notifiche esterne registrata in America nel corso degli ultimi 6 anni. Analogamente, le organizzazioni presenti in Europa, Medio Oriente ed Africa (EMEA) sono state avvisate di un’intrusione da parte di un ente esterno nel 74% delle indagini avvenute nel 2022, rispetto al 62% del 2021.
Gli esperti di Mandiant hanno notato una diminuzione della percentuale di indagini globali che coinvolgono il ransomware tra il 2021 e il 2022. Nel 2022, il 18% delle indagini ha riguardato il ransomware rispetto al 23% del 2021. Si tratta della percentuale più bassa di indagini sul ransomware svolte da Mandiant da prima del 2020.
“Sebbene non disponiamo di dati che suggeriscano l’esistenza di un’unica causa per la leggera diminuzione che abbiamo osservato degli attacchi ransomware, ci sono stati molteplici cambiamenti nel settore del cyber crime che hanno probabilmente influenzato questa contrazione”, aggiunge Sandra Joyce, VP, Mandiant Intelligence at Google Cloud. “Tra i fattori principali ci sono: le continue azioni intraprese da parte di Governi e forze dell’ordine nei confronti di servizi e dei gruppi ransomware, che richiedono agli attaccanti di riattrezzarsi o di sviluppare nuove partnership; il conflitto in Ucraina; gli attaccanti che devono ripensare a nuove modalità di compromissione ora che macro nei documenti elettronici possono essere disabilitate attraverso impostazioni predefinite, inoltre, le organizzazioni stanno migliorando nel rilevare, prevenire o ritornare operative più rapidamente da attacchi ransomware”.
M-Trends 2023: le famiglie di malware aumentano a livello globale
Mandiant ha identificato un’ampia attività di spionaggio informatico e di information operation (IO) prima e dopo l’invasione dell’Ucraina da parte della Russia avvenuta il 24 febbraio 2022. In particolare, Mandiant ha rilevato l’attività di UNC2589 e APT28 prima dell’invasione dell’Ucraina e ha osservato un numero maggiore di attacchi informatici distruttivi in Ucraina nei primi quattro mesi del 2022, rispetto agli otto anni precedenti.
Nel 2022, Mandiant ha iniziato a tracciare 588 nuove famiglie di malware, rivelando come gli attaccanti continuino ad espandere i loro set di strumenti. Tra le nuove famiglie tracciate, le prime cinque categorie sono costituite da backdoor (34%), downloader (14%), dropper (11%), ransomware (7%) e launcher (5%). Queste categorie di malware sono rimaste costanti negli anni e le backdoor continuano a rappresentare poco più di un terzo delle nuove famiglie di malware tracciate.
In linea con gli anni precedenti, la famiglia di malware più comune identificata da Mandiant nelle indagini è stata BEACON, una backdoor multifunzione. Nel 2022, il malware BEACON è stato identificato nel 15% di tutte le intrusioni investigate da Mandiant e rimane ampiamente il più rilevato nelle indagini in tutte le regioni. Questo malware è stato utilizzato da un’ampia varietà di aggressori monitorati da Mandiant, tra cui gruppi Nation-state attribuiti a Cina, Russia e Iran, nonché aggressori con motivazioni economiche e oltre 700 gruppi UN. Secondo il report, questa ubiquità è probabilmente dovuta alla comune disponibilità di BEACON e all’elevata personalizzazione e facilità di utilizzo.
“Mandiant ha indagato su diverse intrusioni effettuate da nuovi attaccanti che stanno diventando sempre più esperti ed efficaci. Sfruttano i dati provenienti dai mercati clandestini del cyber crime, conducono convincenti schemi di social engineering attraverso chiamate vocali e messaggi di testo, tentando persino di corrompere i dipendenti per ottenere l’accesso alle reti delle vittime”, afferma Charles Carmakal, CTO, Mandiant Consulting at Google Cloud. “Questi gruppi rappresentano un rischio significativo per le organizzazioni, anche per quelle che dispongono di solidi programmi di sicurezza, poiché queste tecniche sono difficili da contrastare. Le organizzazioni stanno continuando a costruire i loro team di sicurezza, le loro infrastrutture e le loro capacità, la protezione contro questo tipo di minacce dovrebbe essere aggiunta ai loro obiettivi”.
Sfruttare le informazioni di Threat Intelligence
L’obiettivo del report M-Trends 2023 è quello di fornire ai professionisti della sicurezza informazioni sulle più recenti attività degli attaccanti, fornendo una visuale da un punto di vista privilegiato, cioè quelle delle attività svolte in prima persona, e supportandoli con informazioni utili per migliorare la sicurezza aziendale in un panorama di minacce cyber in continua evoluzione. Per raggiungere questo obiettivo, Mandiant fornisce informazioni su alcuni degli aggressori più prolifici e sulle loro tattiche, tecniche e procedure.
Per supportare ulteriormente questo obiettivo, Mandiant ha mappato altre 150 tecniche al framework aggiornato MITRE ATT&CK, portando il totale a oltre 2.300 tecniche che Mandiant ha associato al framework ATT&CK. Le aziende dovrebbero stabilire le priorità delle misure di sicurezza da implementare in base alla probabilità che una tecnica specifica venga utilizzata nel corso di un’intrusione.
Ulteriori informazioni presenti nel report M-Trends 2023:
- Vettori di infezione: per il terzo anno consecutivo, gli exploit sono rimasti il vettore di infezione iniziale più utilizzato dagli avversari (32%). Sebbene si tratti di una diminuzione rispetto al 37% delle intrusioni individuate nel 2021, gli exploit sono rimasti uno strumento critico che gli attaccanti possono utilizzare contro i loro obiettivi. Il phishing è tornato a essere il secondo vettore più utilizzato, rappresentando il 22% delle intrusioni rispetto al 12% del 2021;
- Settori industriali colpiti: le attività di risposta agli incidenti per le organizzazioni governative hanno assorbito il 25% di tutte le indagini Mandiant rispetto al 9% del 2021. Ciò rispecchia il supporto investigativo di Mandiant alle minacce cyber che hanno preso di mira l’Ucraina. I quattro settori più colpiti nel 2022 sono coerenti con quanto osservato dagli esperti di Mandiant anche nel 2021, con i settori dei servizi aziendali e professionali, finanziari, high tech e healthcare tra i più colpiti. Questi settori restano obiettivi interessanti per gli aggressori, motivati sia dal punto di vista finanziario che da quello dello spionaggio;
- Furto di credenziali: le indagini di Mandiant hanno rilevato nel 2022 un aumento nell’utilizzo di malware per rubare informazioni e nell’acquistare credenziali compromesse rispetto agli anni precedenti. In molti casi, le indagini hanno identificato che le credenziali sono state probabilmente rubate al di fuori dell’ambiente dell’organizzazione e poi utilizzate contro l’organizzazione stessa, potenzialmente a causa di password riutilizzate o dell’utilizzo di account personali su dispositivi aziendali;
- Furto di dati: gli esperti di Mandiant hanno rilevato che nel 40% delle intrusioni nel 2022 gli attaccanti hanno dato priorità al furto di dati. I team di difesa di Mandiant hanno osservato che attaccanti hanno tentato di rubare o completato con successo furti di dati più spesso nel 2022 rispetto agli anni precedenti;
- L’utilizzo delle criptovalute da parte della Corea del Nord: oltre alle tradizionali attività di raccolta di informazioni e agli attacchi distruptive, nel 2022 gli operatori della Repubblica Popolare Democratica di Corea hanno mostrato un maggiore interesse per il furto e l’utilizzo di criptovalute. Queste operazioni sono state molto redditizie e probabilmente proseguiranno per tutto il 2023.