Mandiant, parte di Google Cloud, ha presentato i risultati della quattordicesima edizione del report annuale M-Trends, che grazie alle attività di investigazione e di remediation svolte dall’azienda durante la gestione degli attacchi informatici più rilevanti al mondo, fornisce dati aggiornati e contiene le analisi di esperti nel panorama delle minacce cyber.

“Il report M-Trends 2023 mostra chiaramente che, nonostante sempre più attività di sicurezza informatica prendano piede, stiamo combattendo contro attaccanti in continua evoluzione e sempre più sofisticati” dichiara Jurgen Kutscher, VP, Mandiant Consulting at Google Cloud. “Diversi trend osservati nel 2021 sono proseguiti nel 2022, come il crescente numero di nuove famiglie di malware e l’aumento dello spionaggio informatico da parte di attaccanti Nation-state. Di conseguenza, le organizzazioni devono proseguire nel migliorare la loro postura di sicurezza informatica integrandola con moderne capacità di difesa. La continua validazione della propria resilienza informatica contro le minacce e la verifica della capacità di risposta delle organizzazioni sono altrettanto fondamentali”.

Secondo il report, il dwell time medio globale, ovvero il numero medio di giorni in cui un attaccante è presente nell’ambiente dei sistemi di una vittima prima di essere individuato, prosegue la decrescita di anno in anno fino a raggiungere i 16 giorni nel 2022. Si tratta del dwell time medio più basso di tutti i periodi di riferimento dell’M-Trends (quello medio nel 2021 era di 21 giorni).

La riduzione del dwell time non è però solo frutto di un’attività virtuosa di monitoraggio delle aziende. Contribuisce molto infatti la crescita del ransomware, che a differenza di attacchi mirati a sottrare informazioni, si manifesta all’attaccante in modo molto evidente, spesso nel giro di pochi giorni dal primo attacco (9 in media secondo il rapporto), fa notare Gabriele Zanoni, Consulting Country Manager di Mandiant per l’Italia.

Confrontando le diverse modalità di rilevamento delle minacce, Mandiant ha osservato un aumento generale del numero di organizzazioni che sono state avvisate da un ente esterno (per esempio i CERT nazionali) di aver subito o di avere in corso una compromissione. Le organizzazioni presenti in Europa, Medio Oriente ed Africa (EMEA) sono state avvisate di un’intrusione da parte di un ente esterno nel 74% delle indagini avvenute nel 2022, rispetto al 62% del 2021.

Gli esperti di Mandiant hanno inoltre notato una diminuzione della percentuale di indagini globali che coinvolgono il ransomware tra il 2021 e il 2022. Nel 2022, il 18% delle indagini ha riguardato il ransomware rispetto al 23% del 2021. Si tratta della percentuale più bassa di indagini sul ransomware svolte da Mandiant da prima del 2020.

“Ci sono stati molteplici cambiamenti nel settore del cyber crime che hanno probabilmente influenzato questa contrazione” aggiunge Sandra Joyce, VP, Mandiant Intelligence at Google Cloud. “Tra i fattori principali ci sono le continue azioni intraprese da parte di Governi e forze dell’ordine nei confronti di servizi e dei gruppi ransomware, il conflitto in Ucraina, gli attaccanti che devono ripensare a nuove modalità di compromissione e il fatto che le organizzazioni stanno migliorando nel rilevare, prevenire o ritornare operative più rapidamente da attacchi ransomware”.

Il conflitto ha infatti generato conflittualità e divisioni all’interno dei gruppi ransomware, spesso basati in Russia o est Europa, creando scompiglio nelle organizzazioni criminali, segnala Zanoni, che aggiunge però che dall’inizio della guerra si è visto un forte incremento di attacchi di tipo distruttivo, con sei diversi tipi di wiper (software che cancellano irrimediabilmente i dati) usati nei primi mesi di conflitto.

Zanoni sottolinea anche che l’incidenza di attacchi dovuti al conflitto è determinata dal forte impegno che Mandiant ha preso nei confronti dell’Ucraina (il report infatti riguarda solo i casi affrontati dall’azienda).

Il conflitto, e le sanzioni economiche imposte alla Russia e altri paesi, sta determinando anche una nuova esigenza per le aziende vittime di ransomware. Prima di decidere se pagare o meno il riscatto, le aziende devono infatti assicurarsi che il criminale non sia in un paese sottoposto a sanzioni. In quel caso, l’azienda o l’assicurazione cyber coinvolta nella gestione del caso non potrebbero pagare il riscatto nemmeno volendolo fare.

Alcune assicurazioni cyber non coprono più gli attacchi generati da ATP, considerati un atto di guerra

Inoltre, segnala sempre Zanoni, alcune assicurazioni Cyber hanno smesso di rimborsare i clienti che subiscono attacchi da parte di gruppi APT controllati da governi, perché li considerano atto di guerra e quindi esclusi dalla copertura.

 

Mandiant M-Trends

Le famiglie di malware aumentano a livello globale

Mandiant ha identificato un’ampia attività di spionaggio informatico e di information operation (IO) prima e dopo l’invasione dell’Ucraina da parte della Russia avvenuta il 24 febbraio 2022. In particolare, ha rilevato l’attività di UNC2589 e APT28 prima dell’invasione dell’Ucraina e ha osservato un numero maggiore di attacchi informatici distruttivi in Ucraina nei primi quattro mesi del 2022 rispetto agli otto anni precedenti. Nel 2022, Mandiant ha iniziato a tracciare 588 nuove famiglie di malware, rivelando come gli attaccanti continuino ad espandere i loro set di strumenti. Tra le nuove famiglie tracciate, le prime cinque categorie sono costituite da backdoor (34%), downloader (14%), dropper (11%), ransomware (7%) e launcher (5%). Queste categorie di malware sono rimaste costanti negli anni e le backdoor continuano a rappresentare poco più di un terzo delle nuove famiglie di malware tracciate.

In linea con gli anni precedenti, la famiglia di malware più comune identificata da Mandiant nelle indagini è stata BEACON, una backdoor multifunzione. Nel 2022, il malware BEACON è stato identificato nel 15% di tutte le intrusioni investigate da Mandiant e rimane ampiamente il più rilevato nelle indagini in tutte le regioni. Questo malware è stato utilizzato da un’ampia varietà di aggressori monitorati da Mandiant, tra cui gruppi Nation-state attribuiti a Cina, Russia e Iran, nonché aggressori con motivazioni economiche e oltre 700 gruppi UNC. Secondo il report, questa ubiquità è probabilmente dovuta alla comune disponibilità di BEACON e all’elevata personalizzazione e facilità di utilizzo.

Le altre informazioni presenti nel report M-Trends 2023 comprendono:

  • Vettori di infezione: per il terzo anno consecutivo, gli exploit sono rimasti il vettore di infezione iniziale più utilizzato dagli avversari (32%). Sebbene si tratti di una diminuzione rispetto al 37% delle intrusioni individuate nel 2021, gli exploit sono rimasti uno strumento critico che gli attaccanti possono utilizzare contro i loro obiettivi. Il phishing è tornato a essere il secondo vettore più utilizzato, rappresentando il 22% delle intrusioni rispetto al 12% del 2021
  • Settori industriali colpiti: le attività di risposta agli incidenti per le organizzazioni governative hanno assorbito il 25% di tutte le indagini Mandiant rispetto al 9% del 2021. Ciò rispecchia il supporto investigativo di Mandiant alle minacce cyber che hanno preso di mira l’Ucraina. I quattro settori più colpiti nel 2022 sono stati quelli dei servizi aziendali e professionali, finanziari, high tech e healthcare. Questi settori restano obiettivi interessanti per gli aggressori, motivati sia dal punto di vista finanziario, sia da quello dello spionaggio
  • Furto di credenziali: le indagini di Mandiant hanno rilevato nel 2022 un aumento nell’utilizzo di malware per rubare informazioni e nell’acquistare credenziali compromesse rispetto agli anni precedenti. In molti casi, le indagini hanno identificato che le credenziali sono state probabilmente rubate al di fuori dell’ambiente dell’organizzazione e poi utilizzate contro l’organizzazione stessa, potenzialmente a causa di password riutilizzate o dell’utilizzo di account personali su dispositivi aziendali
  • Furto di dati: gli esperti di Mandiant hanno rilevato che nel 40% delle intrusioni nel 2022 gli attaccanti hanno dato priorità al furto di dati. I team di difesa di Mandiant hanno osservato che attaccanti hanno tentato di rubare o completato con successo furti di dati più spesso nel 2022 rispetto agli anni precedenti
  • L’utilizzo delle criptovalute da parte della Corea del Nord: oltre alle tradizionali attività di raccolta di informazioni e agli attacchi distruptive, nel 2022 gli operatori della Repubblica Popolare Democratica di Corea hanno mostrato un maggiore interesse per il furto e l’utilizzo di criptovalute. Queste operazioni sono state molto redditizie e probabilmente proseguiranno per tutto il 2023.