Una nuova ricerca di Netskope svela le tecniche e le motivazioni più popolari utilizzate dagli attaccanti nel 2023
Netskope, leader Secure Access Service Edge (SASE), ha pubblicato il suo Cloud and Threat Report: Top Adversary Tactics and Techniques, che descrive le tecniche e le motivazioni più comunemente rilevate nei primi tre trimestri del 2023 tra i clienti Netskope a livello globale. Netskope ha riscontrato un numero significativo di criminali che hanno tentato di infiltrarsi negli ambienti dei clienti, con l’attore malevolo di origine Russa Wizard Spider che ha preso di mira più organizzazioni di qualsiasi altro gruppo.
Gruppi di minacce più pervasivi
Netskope ha rilevato che i principali gruppi criminali sono basati in Russia e Ucraina, mentre i principali gruppi di minaccia geopolitica provengono dalla Cina. Wizard Spider, il principale gruppo che ha tentato di prendere di mira gli utenti della piattaforma Netskope Security Cloud, viene considerato l’autore del famigerato malware TrickBot in continua evoluzione. Altri gruppi che si sono caratterizzati per l’utilizzo del ransomware sono stati TA505, l’attore malevolo che ha creato il ransomware Clop, e FIN7, gruppo che ha utilizzato il ransomware REvil e creato il ransomware Darkside, mentre i gruppi di minacce geopolitiche sono guidati da memupass e Aquatic Panda.
Gli attaccanti mossi da motivazioni geopolitiche prendono di mira regioni e settori specifici per la loro proprietà intellettuale, al contrario degli attori motivati finanziariamente che sviluppano strategie ottimizzate per target replicabili, dove possono riutilizzare le stesse tattiche e tecniche con una personalizzazione minima.
Minacce verticali e regionali
Sulla base dei risultati raccolti da Netskope, i settori verticali dei servizi finanziari e della sanità hanno registrato una percentuale significativamente più elevata di attività attribuibile a gruppi di minacce geopolitiche. In questi settori verticali, quasi la metà delle attività osservate proviene da questa tipologia di attaccanti, rispetto a gruppi motivati dal punto di vista finanziario. I settori verticali come quello manifatturiero, governativo, dell’istruzione e della tecnologia hanno registrato meno del 15% delle attività provenienti da attori motivati geopoliticamente, mentre le restanti minacce sono motivate dal punto di vista finanziario.
Da un punto di vista geografico, l’Australia e il Nord America registrano la più alta percentuale di attacchi provenienti da attività attribuibili a gruppi criminali, mentre altre parti del mondo, come Africa, Asia, America Latina e Medio Oriente registrano attacchi motivati da ragioni geopolitiche.
Le migliori tecniche
I link e gli allegati di spearphishing sono le tecniche più popolari per l’accesso iniziale registrate finora nei primi tre trimestri del 2023 e, ad agosto, gli attaccanti hanno avuto tre volte più successo nell’indurre le vittime a scaricare allegati di spearphishing rispetto alla fine del 2022. Sebbene l’e-mail continui a essere un canale comune utilizzato dagli attaccanti, il tasso di successo è basso a causa dei filtri anti-phishing avanzati e della maggiore consapevolezza dell’utente. Tuttavia, gli attaccanti hanno ottenuto questo recente successo utilizzando account di posta elettronica personali.
Finora, nel 2023, il numero di utenti che hanno tentato di scaricare un allegato di phishing da un’applicazione webmail personale è stato 16 volte superiore rispetto alle applicazioni webmail di un’organizzazione gestita. Il 55% del malware che gli utenti hanno tentato di scaricare è stato distribuito tramite applicazioni cloud, rendendo le applicazioni cloud il veicolo numero uno per l’esecuzione corretta del malware. L’applicazione cloud più popolare in ambito aziendale, Microsoft OneDrive, è stata responsabile di oltre un quarto di tutti i download di malware cloud.
“Se le organizzazioni riescono a individuare chi sono i principali avversari e gli incentivi che li motivano, allora possono esaminare le loro difese e chiedersi: ‘Quali protezioni ho in atto contro queste tattiche e tecniche? In che modo questo mi aiuterà a perfezionare la mia strategia difensiva?’”, ha affermato Ray Canzanese, Threat Research Director, Netskope Threat Labs. “Se un’organizzazione riesce a difendersi efficacemente dalle tecniche descritte nel report, allora si sta difendendo efficacemente da un’ampia gamma di attaccanti. Non importa chi dovrà affrontare, avrà delle difese in atto.”
Punti chiave per le organizzazioni
Sulla base di queste tecniche scoperte nell’indagine, Netskope consiglia alle organizzazioni di valutare le proprie difese per determinare come deve evolversi la propria strategia di sicurezza informatica. Le tecniche più pervasive da cui le organizzazioni devono essere preparate a difendersi includono:
- Link e allegati di Spearphishing – Mettere in atto difese anti-phishing che vanno oltre la posta elettronica per garantire che gli utenti siano protetti dai collegamenti di spearphishing, indipendentemente dall’origine
- Link e file malevoli – Garantire che i tipi di file ad alto rischio, come eseguibili e archivi, vengano ispezionati accuratamente utilizzando una combinazione di analisi statica e dinamica prima del loro download
- Protocolli Web e sottrazione dei dati sul canale C2 – Rilevare e prevenire il traffico di comando e controllo (C2) avversario sui protocolli Web utilizzando un SWG e un IPS per identificare la comunicazione con l’infrastruttura C2 conosciuta e i modelli di comando e controllo comuni
