Il rapporto annuale Threat Hunting Report 2024 viene pubblicato in queste ore da CrowdStrike, destinato a mettere in luce le ultime tendenze, nonché le campagne e le tattiche adottate dagli avversari, rilevate sulla base dell’intelligence fornita dagli specialisti in threat hunting e dagli analisti dell’intelligence di CrowdStrike. Il rapporto 2024 rivela un aumento degli avversari, sia di stati-nazione che di eCrime, che sfruttano credenziali e identità legittime per fingersi insider ed evitare il rilevamento e bypassare i controlli di sicurezza tradizionali, nonché un incremento delle intrusioni hands-on-keyboard, degli attacchi cross-domain e degli attacchi al cloud control plane.
Pubblichiamo i principali risultati
- Avversari nordcoreani si spacciano per insider, ovvero dipendenti statunitensi legittimi: FAMOUS CHOLLIMA si è insinuato in oltre 100 aziende tecnologiche, prevalentemente negli Stati Uniti. Sfruttando documenti d’identità falsificati o rubati, insider malevoli sono riusciti ad ottenere impieghi come personale IT remoto, con l’obiettivo di esfiltrare dati e svolgere attività dannose.
- Aumento del 55% delle intrusioni hands-on-keyboard: Un numero crescente di avversari si impegna in attività hands-on-keyboard spacciandosi per utenti legittimi e bypassando i controlli di sicurezza tradizionali. L’86% di tutte le intrusioni manuali è eseguito da soggetti che operano nell’ambito della criminalità informatica in cerca di guadagni finanziari. Questi attacchi sono aumentati del 75% nel settore sanitario e del 60% in quello tecnologico, che rimane il settore più colpito per il settimo anno consecutivo.
- Crescita del 70% nell’abuso di strumenti di Remote Monitoring and Management (RMM): Avversari come CHEF SPIDER (eCrime) e STATIC KITTEN (Iran-nexus) utilizzano strumenti legittimi di monitoraggio e gestione remota (RMM) come ConnectWise ScreenConnect per l’utilizzo malevolo degli endpoint. L’abuso degli strumenti RMM ha rappresentato il 27% di tutte le intrusioni hands-on-keyboard.
- Persistenza degli attacchi cross-domain: Gli attori delle minacce stanno sempre più sfruttando credenziali valide per violare ambienti cloud e utilizzare successivamente quell’accesso per penetrare nei dispositivi endpoint. Questi attacchi lasciano tracce minime in ciascuno di questi domini, rendendo più difficile il rilevamento.
- Gli avversari focalizzati sul cloud puntano al Control Plane: Avversari specializzati nello sfruttare il cloud, come SCATTERED SPIDER (eCrime), stanno usando le tecniche di ingegneria sociale, le modifiche alle policy e l’accesso ai gestori di password per infiltrarsi negli ambienti cloud. Utilizzano le connessioni tra il Cloud Control Plane ed i dispositivi endpoint per spostarsi lateralmente, mantenere la persistenza ed esfiltrare dati, fingendosi insider.
“Da oltre un decennio, monitoriamo con attenzione i più prolifici attivisti hacker, cybercriminali e avversari degli stati-nazione” ha dichiarato Adam Meyers, Head of Counter Adversary Operations di CrowdStrike. “Tracciando quasi 250 avversari nell’ultimo anno, è emerso un tema centrale: i gruppi criminali si focalizzano sempre più in intrusioni interattive e utilizzano tecniche cross-domain domain per eludere le detection e raggiungere i loro obiettivi. Il nostro threat-hunting, condotto e guidato da esperti “umani” in modo approfondito, alimenta direttamente gli algoritmi che potenziano la piattaforma Falcon, con intelligenza IA nativa, consentendoci di rimanere un passo avanti rispetto alle minacce in continua evoluzione e continuare a fornire le soluzioni di cybersecurity più efficaci del settore”.
Ulteriori risorse
- Scarica il 2024 CrowdStrike Threat Hunting Report
- Visita l’Adversary Universe di CrowdStrike per accedere ad una fonte autorevole di informazioni sugli avversari
- Ascolta l’Adversary Universe podcast per un approfondimento sui threat-actors e alcune raccomandazioni per migliorare le pratiche di sicurezza.