CrowdStrike pubblica il Threat Hunting Report 2024 ed evidenzia le ultime tendenze in fatto di cybercrime, campagne e tattiche adottate da attaccanti e hacker.
Il rapporto 2024 rivela un aumento degli avversari, sia di stati-nazione che di eCrime, che sfruttano credenziali e identità legittime per evitare il rilevamento e bypassare i controlli di sicurezza tradizionali, nonché un incremento delle intrusioni hands-on-keyboard, degli attacchi cross-domain e degli attacchi al cloud control plane.
Threat Hunting Report 2024
• Avversari nordcoreani si spacciano per dipendenti statunitensi legittimi: Famous Chollima si è insinuato in oltre 100 aziende tecnologiche, prevalentemente negli Stati Uniti. Sfruttando documenti d’identità falsificati o rubati, insider malevoli sono riusciti ad ottenere impieghi come personale IT remoto, con l’obiettivo di esfiltrare dati e svolgere attività dannose.
• Aumento del 55% delle intrusioni hands-on-keyboard: Un numero crescente di avversari si impegna in attività hands-on-keyboard spacciandosi per utenti legittimi e bypassando i controlli di sicurezza tradizionali. L’86% di tutte le intrusioni manuali è eseguito da soggetti che operano nell’ambito della criminalità informatica in cerca di guadagni finanziari. Questi attacchi sono aumentati del 75% nel settore sanitario e del 60% in quello tecnologico, che rimane il settore più colpito per il settimo anno consecutivo.
L’exploit di strumenti RMM è una tecnica ormai collaudata
Gli avversari utilizzano sempre più tecniche collaudate, in particolare strumenti RMM legittimi come ConnectWise ScreenConnect e AnyDesk, durante le intrusioni negli endpoint. Negli ultimi 12 mesi, gli exploit degli strumenti RMM sono aumentati, raggiungendo il 27% del totale delle intrusioni interattive. Questo dato evidenzia la necessità di comprendere il comportamento degli avversari lungo l’intera kill chain per rilevare e sventare rapidamente gli attacchi.
Questi risultati rappresentano l’impegno di CrowdStrike per fermare gli avversari. Alle spalle di ogni esperto di threat hunting CrowdStrike c’è la potenza di una soluzione di sicurezza unificata, che offre la telemetria di sicurezza più completa, comprensiva di cloud, identità, endpoint e informazioni, per scovare e bloccare gli avversari sin dalle prime mosse.
L’ascesa degli attacchi cross-domain furtivi per eludere il rilevamento
Gli avversari prendono sempre più di mira più domini nell’infrastruttura di un’organizzazione, in particolare identità, cloud ed endpoint, nel tentativo di eludere il rilevamento. Queste minacce cross-domain rappresentano una sfida per gli esperti di threat hunting, perché spesso generano meno rilevamenti in un singolo dominio o prodotto, rendendo l’attività difficile da riconoscere come malevola. La minaccia degli attacchi cross-domain sta crescendo, con gli avversari che tentano di infiltrarsi nei sistemi target attraverso l’accesso umano, comunemente noto come “insider threats”, che sfrutta un accesso affidabile per causare danni. Questi attacchi lasciano impronte minime in ogni dominio, come pezzi di puzzle separati. Solo se combinate è possibile rivelare il quadro completo delle attività sospette.
Gli avversari focalizzati sul cloud puntano al Control Plane: Avversari specializzati nello sfruttare il cloud, come Scattered Spider (eCrime), stanno usando le tecniche di ingegneria sociale, le modifiche alle policy e l’accesso ai gestori di password per infiltrarsi negli ambienti cloud. Utilizzano le connessioni tra il Cloud Control Plane ed i dispositivi endpoint per spostarsi lateralmente, mantenere la persistenza ed esfiltrare dati.
Adam Meyers, Head of Counter Adversary Operations di CrowdStrike
Da oltre un decennio, monitoriamo con attenzione i più prolifici attivisti hacker, cybercriminali e avversari degli stati-nazione. Tracciando quasi 250 avversari nell’ultimo anno, è emerso un tema centrale: i gruppi criminali si focalizzano sempre più in intrusioni interattive e utilizzano tecniche cross-domain domain per eludere le detection e raggiungere i loro obiettivi. Il nostro threat-hunting, condotto e guidato da esperti “umani” in modo approfondito, alimenta direttamente gli algoritmi che potenziano la piattaforma Falcon, con intelligenza IA nativa, consentendoci di rimanere un passo avanti rispetto alle minacce in continua evoluzione e continuare a fornire le soluzioni di cybersecurity più efficaci del settore.
