Mandiant, azienda specializzata nelle attività di difesa e risposta agli incidenti, presenta l’M-Trends 2022, report annuale che fornisce dati e approfondimenti basati su investigazioni e attività di remediation, in merito agli attacchi informatici ad alto impatto avvenuti a livello globale. L’edizione 2022, che si riferisce alle attività indagate tra il 1° ottobre 2020 e il 31 dicembre 2021, rivela che sono stati ottenuti significativi progressi nel rilevamento e nella risposta alle minacce informatiche; tuttavia, Mandiant continua a osservare gli attaccanti innovare le proprie tecniche di attacco per raggiungere i propri obiettivi.
Il valore mediano del dwell time globale si riduce a tre settimane
Secondo il report M-Trends 2022, il dwell time mediano globale, calcolato come il numero medio di giorni in cui un attaccante si trova all’interno della rete di una vittima prima di essere identificato, è diminuito raggiungendo i 21 giorni rispetto ai 24 del 2020. Il report che analizza gli attacchi informatici a livello globale, rileva che la regione APAC ha raggiunto la riduzione più significativa (oggi 21 giorni rispetto ai 76 del 2020). Il dwell time mediano è diminuito anche nell’area EMEA (oggi 48 giorni rispetto ai 66 del 2020). Nel continente americano, invece, il dwell time è rimasto stabile a 17 giorni.
Confrontando il modo in cui sono state rilevate le minacce nelle diverse regioni, il report evidenzia che in EMEA e APAC la maggior parte delle intrusioni nel 2021 (rispettivamente 62% e 76) sono state identificate da terze parti (cioè grazie a segnalazioni esterne come i CERT nazionali, forze dell’ordine e aziende di sicurezza private), questo mostra un’inversione di tendenza rispetto a quanto osservato nel 2020.
In America, la maggior parte delle intrusioni è stata rilevata internamente, cioè dai team aziendali preposti dalle stesse organizzazioni (60%).
Visibilità e risposta alle minacce da parte delle organizzazioni sono migliorate; tuttavia, anche la pervasività del ransomware è cresciuta, e possiede un dwell time mediano significativamente inferiore rispetto alle intrusioni non-ransomware. Infatti, l’obiettivo dei gruppi ransomware è quello di cifrare il più ampio numero di sistemi (e spesso portare via dati e informazioni) nella minore quantità di tempo per poi poter ricattare le vittime e chiedere un riscatto: non c’è un interesse nel mantenere le proprie attività malevole nascoste sul lungo periodo come invece interessa ad altre tipologie di aggressori. Questo, secondo il report che studia gli attacchi informatici a livello globale, è probabilmente uno dei fattori che guidano la riduzione del dwell time mediano a livello globale.
Le nuove minacce e l’incremento delle attività di spionaggio cinese
Mandiant continua ad aumentare la sua già vasta base di conoscenza delle minacce e degli attacchi informatici a livello globale attraverso le investigazioni in prima linea, l’accesso ad informazioni monitorando il mercato dei cyber criminali, dati di telemetria da sistemi di sicurezza e l’utilizzo di metodologie di ricerca e di dataset proprietari, analizzati da più di 300 professionisti di threat intelligence in 26 Paesi. Come risultato dell’incessante raccolta e dell’analisi delle informazioni, gli esperti di Mandiant hanno iniziato a tracciare oltre 1.100 nuovi gruppi di aggressori durante il periodo di riferimento dell’M-Trends. Mandiant ha inoltre tracciato 733 nuove famiglie di malware, di cui l’86% non è disponibile pubblicamente, e questo trend mostra come gli aggressori stiano puntando sul mantenere riservati o comunque privati i propri malware invece di ri-utilizzare malware pubblici.
M-Trends 2022 rileva anche un riallineamento e una riorganizzazione delle operazioni di spionaggio informatico da parte della Cina per adeguarsi con il “China’s 14th Five-Year Plan in 2021”.
Il report annuale di Mandiant sugli attacchi informatici a livello globale avverte che le priorità a livello nazionale, incluse nel piano, “segnalano un imminente aumento degli aggressori legati alla Cina che conducono attività per accedere a proprietà intellettuali e a informazioni di importanza strategica, come quelle relative ai prodotti usati nell’industria della difesa e altre tecnologie a ‘doppio uso’”.
Rafforzare la posizione di sicurezza
Mandiant è impegnata ad aiutare le organizzazioni a restare al sicuro dalle minacce informatiche e a costruire e mantenere la fiducia che le aziende ripongono nella propria prontezza di difesa informatica. Per sostenere questa missione, Mandiant fornisce suggerimenti per la riduzione del rischio di attacchi informatici a livello globale, andando a mitigare le configurazioni errate che se presenti possono comportare compromissioni di sistemi critici come Active Directory (usato per accedere alle password), piattaforme di virtualizzazione e infrastrutture Cloud. Il report rafforza anche le considerazioni per sostenere programmi di sicurezza proattivi, ribadendo l’importanza di possedere iniziative di sicurezza di lunga durata quali la gestione delle risorse, le politiche di conservazione dei log e la gestione di vulnerabilità e l’applicazione delle patch.
A sostegno degli sforzi di community e industria, Mandiant monitora continuamente i suoi risultati nel quadro MITRE ATT&CK, mappando altre 300+ tecniche Mandiant nel framework 2021. Il report M-Trends afferma che le organizzazioni dovrebbero dare priorità alle misure di sicurezza da implementare in base alle probabilità che tecniche specifiche vengano utilizzate nel corso di un’intrusione. Esaminando quali tecniche sono effettivamente prevalenti grazie ai dati di Mandiant, le aziende possono prendere decisioni di sicurezza in modo più efficace.
Ulteriori informazioni chiave presenti nel Report:
- Vettori di infezione: per il secondo anno consecutivo, gli exploit restano il vettore di infezione iniziale più frequentemente identificato negli attacchi informatici a livello globale. Infatti, in base alla totalità degli incidenti a cui Mandiant ha risposto nel corso del periodo preso in esame, il 37% degli attacchi è iniziato con lo sfruttamento di una vulnerabilità, al contrario del phishing, che rappresenta solo l’11%. Le compromissioni della supply chain sono aumentate drasticamente, da meno dell’1% nel 2020 al 17% nel 2021.
- Settori industriali maggiormente colpiti: i servizi professionali e finanziari, sono i due settori maggiormente colpiti dagli attaccanti (14%), seguiti dalla sanità (11%), retail e hospitality (10%), tecnologia ed enti governativi (entrambi al 9%).
- Nuove TTP di estorsione e ransomware: Mandiant ha osservato che gli attaccanti impiegano nuove tattiche, tecniche e procedure (TTP) per distribuire il ransomware rapidamente e in maniera più efficiente, in particolare sono state osservate diverse compromissioni di infrastrutture di virtualizzazione che sono ora diventate un obiettivo primario per gli attaccanti ransomware.
“Una delle particolarità del report M-Trends è che è da sempre data-driven: Mandiant risponde agli attacchi informatici a livello globale più importanti e le investigazioni a cui lavoriamo in prima persona sono la sorgente di questo report. In questa edizione condividiamo le top 10 tecniche MITRE che abbiamo osservato essere realmente usate dagli attaccanti e i top vettori di attacco, dove lo sfruttamento delle vulnerabilità e gli attacchi supply chain la fanno da padroni a scapito del phishing. Queste informazioni sono preziose per prioritizzare gli investimenti nei sistemi di difesa in ogni tipo di organizzazione: è una lettura di sicuro interesse sia per i CISO sia per i loro team di cyber security”, afferma Gabriele Zanoni, Consulting Country Manager Mandiant Italia.
Executive Quotes
“Il report M-Trends di quest’anno rivela nuove informazioni su come gli aggressori si stanno evolvendo e stanno utilizzando nuove tecniche per ottenere l’accesso agli ambienti delle vittime. Mentre gli exploit continuano a guadagnare forza e restano il vettore di infezione più frequentemente identificato, il report di quest’anno evidenzia un calo notevole del phishing, che riflette la miglior consapevolezza delle organizzazioni e la capacità di rilevare e bloccare in maniera più efficace questi tentativi. Alla luce del continuo aumento dell’utilizzo degli exploit come vettore iniziale delle compromissioni, le organizzazioni devono mantenere l’attenzione sull’esecuzione degli step fondamenti della sicurezza, quali gestione delle risorse, rischi e delle patch”, dichiara Jurgen Kutscher, Executive Vice President, Service Delivery, Mandiant.
“L’estorsione e il ransomware continuano a porre enormi sfide alle organizzazioni di ogni dimensione e settore, il report M-Trends di quest’anno evidenzia un aumento specifico degli attacchi informatici a livello globale che prendono di mira le infrastrutture di virtualizzazione. La chiave per essere resilienti sta nella preparazione. Sviluppare un robusto piano di preparazione e un processo di recupero ben documentato e testato può aiutare le organizzazioni a superare con successo un attacco e tornare rapidamente alle normali operazioni aziendali”, afferma Jurgen Kutscher, Executive Vice President, Service Delivery, Mandiant.
“L’attività di spionaggio informatico cinese è aumentata in maniera significativa negli ultimi anni, con l’Asia e gli Stati Uniti che restano le regioni più bersagliate. Il report M-Trends di quest’anno evidenzia un focus specifico sulle organizzazioni governative, così come l’utilizzo delle stesse famiglie di malware tra diversi gruppi di spionaggio informatico, probabilmente a causa della condivisione di risorse e strumenti. Inoltre, con l’attuazione del “China’s 14th Five-Year Plan in 2021”, ci aspettiamo di vedere l’attività di spionaggio informatico proseguire con particolare velocità per sostenere la sicurezza nazionale e degli interessi economici della Cina nel corso dei prossimi anni”, dichiara Charles Carmakal, Senior Vice President and Chief Technology Officer, Mandiant.
“Diverse tendenze degli anni precedenti degli attacchi informatici a livello globale, sono proseguite anche nel corso del 2021 e Mandiant ha rilevato un maggior numero di gruppi di aggressori rispetto a qualsiasi periodo precedente. Come trend parallelo, in questo periodo abbiamo iniziato ad osservare la creazione di molte nuove famiglie di malware rispetto a prima. Nel complesso, questo evidenzia un panorama delle minacce che continua a tendere verso l’alto in termini di volume e diversità delle minacce. Continuiamo a osservare anche che il guadagno economico è una motivazione primaria per gli attaccanti, come evidenziano i casi studio di quest’anno su FIN12 e FIN13. Se passiamo alla prospettiva della difesa, vediamo diversi miglioramenti nonostante un panorama delle minacce incredibilmente impegnativo. Come esempio, questo report M-Trends ha il più basso dwell time mediano globale rilevato. Inoltre, APAC ed EMEA hanno evidenziato i maggiori miglioramenti in differenti categorie di rilevamento delle minacce rispetto agli anni precedenti”, aggiunge Sandra Joyce, Executive Vice President, Mandiant Intelligence, Mandiant.
