Il report annuale Threat Hunting di CrowdStrike rivela che gli avversari di Cina-Nexus stanno accelerando l’accesso mirato alle reti critiche.

accesso mirato alle reti critiche

CrowdStrike, realtà specializzata nella protezione degli endpoint e dei workload basata sul cloud, annuncia il rapporto annuale di CrowdStrike Falcon OverWatch: “Nowhere To Hide, 2021 Threat Hunting Report: Insights from the CrowdStrike Falcon OverWatch Team”. Il report evidenzia un’esplosione dell’attività degli avversari, sia in termini di volume sia in velocità. Gli esperti in threat hunting di CrowdStrike hanno registrato un aumento del 60% dei tentativi di accesso mirato alle reti critiche e di intrusione in tutti i settori verticali e in tutte le aree geografiche.

Il report evidenzia inoltre un calo significativo del tempo medio di breakout – il tempo necessario ad un intruso per iniziare a muoversi al di fuori del punto di accesso iniziale verso altri sistemi della rete – di appena un’ora e 32 minuti, tre volte in meno rispetto al 2020. Queste statistiche sconfortanti mostrano come gli autori delle minacce adattino costantemente le loro tattiche, tecniche e procedure (TTPs) per raggiungere più velocemente il loro obiettivo di accesso mirato alle reti critiche loro.

Il report OverWatch fornisce ulteriori osservazioni tra le quali:

  • Gli avversari sono andati oltre il malware. Essi, per avere un accesso mirato alle reti critiche, stanno usando tecniche sempre più sofisticate e furtive, fatte su misura per eludere i rilevamenti; tra tutti i rilevamenti indicizzati da CrowdStrike Threat Graph negli ultimi tre mesi, il 68% era privo di malware.
  • Cina, Corea del Nord e Iran sono stati i gruppi più sponsorizzati dagli stati. Il report rivela che la maggior parte degli da parte dei gruppi avversari aveva come base la Cina, la Corea del Nord e l’Iran.
  • Una massiccia impennata dell’attività di accesso mirato alle reti critiche prende di mira il settore delle telecomunicazioni. Questa attività si estende a tutte le maggiori aree geografiche ed è associata ad una gamma diversificata di avversari.
  • WIZARD SPIDER è stato il cyber-criminale più prolifico. Le intrusioni da parte di questo gruppo sono infatti quasi il doppio del numero dei tentativi di intrusione rispetto a qualsiasi altro gruppo di eCrime. WIZARD SPIDER è l’autore delle operazioni mirate che usano Ryuk e, più recentemente, il ransomware Conti.
  • Un aumento del 100% delle istanze di cryptojacking nelle intrusioni interattive anno su anno, in correlazione con l’aumento dei prezzi delle criptovalute.
  • Gli access broker hanno avuto un anno eccezionale. Gli attori di eCrime specializzati nella violazione delle reti per la vendita dell’accesso ad altri hanno giocato un ruolo importante e in forte crescita per altri attori di eCrime, al fine di mettere in scena i loro tentativi di intrusione.

Nel corso dell’ultimo anno, le aziende hanno affrontato quotidianamente assalti informatici senza precedenti e sempre più sofisticati. Falcon OverWatch ha un’abilità unica nel rilevare e nel bloccare le minacce informatiche più complesse, affinché gli avversari non abbiano modo di nascondersi”, ha affermato Param Singh, Vice Presidente di Falcon OverWatch, CrowdStrike. “Al fine di contrastare le tattiche di accesso mirato alle reti critiche e le tecniche furtive degli avversari, è indispensabile che le organizzazioni si affidino ad esperti in threat hunting e threat intelligence nelle loro stack di sicurezza, stratifichino il rilevamento degli endpoint (EDR) e la risposta abilitati dal machine learning nelle loro reti e abbiano una visibilità completa sugli endpoint per fermare gli avversari sulle loro tracce“.

Il rapporto comprende dati sulle minacce provenienti da Falcon OverWatch, il team Crowdstrike di esperti in threat hunting, con il contributo di CrowdStrike Intelligence e Service, e fornisce uno sguardo sull’attuale scenario delle minacce, sui comportamenti e sulle tattiche dei principali avversari, oltre a suggerimenti per aumentare la resilienza informatica. Nel report del 2021, gli esperti in threat hunting di OverWatch hanno identificato direttamente e contribuito a bloccare più di 65.000 potenziali intrusioni, approssimativamente una potenziale intrusione ogni otto minuti.

La missione di Falcon OverWatch è quella di aumentare la potenza e l’autonomia della protezione della piattaforma Falcon con un’esperienza intelligente e incentrata sulla capacità di fornire risultati necessari per rimanere al sicuro. Falcon OverWatch sfrutta la potenza del CrowdStrike Threat Graph per tracciare, indagare e fornire suggerimenti sui tentativi di accesso mirato alle reti critiche e sulle attività delle minacce più sofisticate. La telemetria su scala cloud di 1 trilioni di eventi legati agli endpoint raccolti ogni settimana, unita allo spionaggio dettagliato di oltre 160 gruppi avversari, e arricchita dall’automazione della piattaforma CrowdStrike Falcon, permette al team di OverWatch di identificare e bloccare velocemente i più avanzati autori di minacce. Le intuizioni di OverWatch sui nuovi e insoliti comportamenti degli avversari contribuiscono ad aumentare continuamente la protezione fornita da Falcon, con la conseguente prevenzione proattiva delle attività dannose su circa 248.000 endpoint unici.