Il movimento laterale è diventato una tecnica sempre più utilizzata dagli aggressori per diffondersi all’interno delle reti aziendali. Un recente studio condotto da Picus su oltre mezzo milione di campioni di malware ha rivelato che molte delle tattiche più diffuse identificate nel set di dati favoriscono il movimento laterale, tra cui tre nuove tattiche che sono entrate nella top 10.

Ciò evidenzia l’importanza di migliorare la prevenzione e il rilevamento delle minacce sia nel perimetro di sicurezza, sia all’interno delle reti. In passato, i movimenti laterali erano associati principalmente alle minacce persistenti avanzate (APT) che operavano in modo mirato, rivolgendosi a specifiche aziende di determinati settori. Tuttavia, con l’ascesa dei gruppi di ransomware gestiti manualmente, il movimento laterale è diventato una sfida per le organizzazioni di ogni tipo e dimensione, indipendentemente dal settore.

I gruppi di ransomware gestiti manualmente utilizzano gruppi di hacker noti come “affiliati” per introdursi manualmente nelle reti, spostarsi lateralmente e ottenere il maggior accesso possibile ai sistemi prima di distribuire il ransomware per ottenere il massimo impatto. Questi hacker a pagamento hanno preso in prestito tutte le tecniche utilizzate dalle APT, rendendo il movimento laterale una tecnica sempre più utilizzata dagli aggressori.

alchimist

Il framework MITRE ATT&CK è una base di conoscenza di tattiche, tecniche e procedure (TTP) che fornisce ai professionisti della sicurezza informatica un quadro di riferimento per stabilire le priorità delle difese contro campagne malevole, malware e gruppi di minacce. La sua ultima versione tiene conto di 14 tattiche, 193 tecniche e 401 sotto-tecniche, oltre a 135 gruppi di attacco e 718 software dannosi.

Secondo l’analisi di Picus su oltre 500.000 file raccolti da servizi di intelligence sulle minacce commerciali e open-source, fornitori e ricercatori di sicurezza, sandbox di malware e database di malware, in media ogni malware includeva 11 TTP che corrispondevano a nove tecniche ATT&CK e un terzo di questi file (167.837) utilizzava almeno una tecnica di movimento laterale.

Inoltre, molte delle tattiche più diffuse identificate nel set di dati favoriscono il movimento laterale, tra cui la tecnica di Esecuzione remota di codice, che è stata la tecnica più utilizzata in assoluto, seguita dalle tecniche di Individuazione dell’ambiente e di Credential Access. Ciò significa che gli aggressori stanno sempre più utilizzando tattiche che consentono loro di muoversi all’interno delle reti aziendali una volta che hanno ottenuto l’accesso iniziale.