Sophos ha rilasciato i dati emersi da “Active Adversary Report for Tech Leaders 2023”, un'analisi approfondita sui comportamenti e sugli strumenti relativi agli attacchi avvenuti nel primo semestre del 2023. Dopo aver analizzato tutte le casistiche prese in considerazione dall’Incident Response (Ir) nel periodo da gennaio a luglio 2023, è stato calcolato che il tempo mediano di permanenza dell’autore di un attacco informatico – ovvero quello che intercorre dall'inizio di un attacco fino al suo rilevamento – è sceso da dieci a otto giorni per tutti gli attacchi e a cinque giorni nel caso degli attacchi ransomware.
Non solo: perché Sophos x-Ops ha anche rilevato che occorre mediamente meno di un giorno – circa 16 ore – prima che il cybercriminale riesca a raggiungere Active Directory (Ad), uno degli asset più sensibili di molte aziende.
«Attaccare l'infrastruttura Active Directory di un'azienda è una scelta sensata da un punto di vista offensivo. Ad è normalmente il sistema più potente e privilegiato di una rete e quando un cybercriminale riesce a ottenerne il controllo, egli può controllare l'intera organizzazione. L'impatto, l'escalation e la difficoltà di ripristino da un attacco contro Active Directory sono i motivi per cui questo sistema viene messo sotto tiro», ha dichiarato John Shier di Sophos. «Assumere il controllo del server Active Directory nel corso dell'attacco assicura diversi vantaggi ai malintenzionati, che possono trattenersi all'interno del sistema in attesa di decidere la mossa successiva e, una volta pronti, scatenarsi nella rete della vittima senza alcun ostacolo. Il completo ripristino in seguito alla compromissione del dominio può essere un lavoro lungo e difficile e molto spesso il successo di un attacco contro Ad costringe i team responsabili della sicurezza a ripartire da zero», ha continuato il dirigente.
Il tempo di permanenza è diminuito anche nel caso degli attacchi ransomware, la tipologia di attacco maggiormente diffusa tra le casistiche Ir analizzate – responsabile del 69% degli eventi – la cui media si è ridotta a soli cinque giorni. Nell'81% degli attacchi ransomware, il payload finale è stato lanciato al di fuori del normale orario di lavoro; negli altri casi, solo cinque si sono verificati durante una giornata lavorativa. Il numero degli attacchi rilevati è aumentato procedendo lungo i giorni della settimana, in particolare per quanto riguarda gli attacchi ransomware: quasi metà di essi (43%) è stata rilevata nei giorni di venerdì o sabato.
«In un certo senso siamo vittime del nostro stesso successo. Con la diffusione di tecnologie come Xdr e di servizi come Mdr, si anticipa la nostra capacità di rilevare gli attacchi. Ridurre i tempi di rilevamento porta a una risposta più rapida, il che riduce la finestra operativa a disposizione degli attaccanti. Nel contempo i cybercriminali hanno perfezionato il loro modo di agire, specialmente i più esperti e dotati di risorse tra gli affiliati alle gang ransomware, continuando a velocizzare gli attacchi diretti contro difese sempre migliori. Ciò tuttavia non significa che siamo collettivamente più al sicuro, come dimostra la riduzione dei tempi di permanenza degli attacchi non ransomware. I cybercriminali continuano a entrare nelle nostre reti e, se non ci sono urgenze, tendono a permanervi. Per rendere difficile la vita degli attaccanti occorrono sia i tool appropriati che un monitoraggio continuo e proattivo», ha concluso Shier.