Identità e hands-on keyboard tecniche predilette per gli attacchi L’edizione 2023 del Threat Hunting Report di CrowdStrike indica un continuo aumento delle capacità di aggirare le difese e un breakout time al minimo storico. Pubblicato il 08 agosto 2023 da Redazione

L'azienda di sicurezza informatica CrowdStrike ha pubblicato il suo "Threat Hunting Report 2023", rivelando un allarmante aumento delle minacce informatiche e delle tattiche sofisticate utilizzate dagli avversari informatici durante il periodo di monitoraggio tra luglio 2022 e giugno 2023. Il rapporto h messo in evidenza una crescente abilità degli aggressori nello sfruttamento delle vulnerabilità nel cloud e nell'abuso delle credenziali legittime per ottenere l'accesso ai sistemi delle vittime, rimanendo nascosti per periodi di tempo prolungati.

Una delle scoperte più allarmanti del report è stata la diminuzione del tempo medio necessario agli avversari per muoversi lateralmente all'interno dell'ambiente delle vittime, passando dagli 84 minuti del 2022 a soli 79 minuti nel 2023. Il tempo più rapido registrato per completare questa operazione è stato di soli 7 minuti. Questo significa che gli aggressori si stanno muovendo sempre più velocemente, rendendo difficile per le organizzazioni rilevare e bloccare gli attacchi in tempo utile.

Il rapporto ha rilevato un aumento del 583% degli attacchi all'identità di Kerberoasting rispetto all'anno precedente. Questa tecnica permette ai cybercriminali di ottenere credenziali valide per gli account dei servizi Active Directory, concedendo loro privilegi più elevati e consentendo di operare inosservati all'interno degli ambienti delle vittime. Complessivamente, il 62% di tutte le intrusioni interattive è stato attribuito all'abuso di account legittimi e c'è stato un aumento del 160% dei tentativi di ottenere le chiavi di accesso e altre credenziali tramite le Api dei metadati delle istanze cloud.

Il report di Crowdstrike ha evidenziato anche un aumento del 312% degli avversari che sfruttano strumenti legittimi di gestione remota dell'It, noti per eludere i sistemi di rilevamento e nascondersi all'interno degli ambienti aziendali. Questi strumenti consentono agli aggressori di ottenere l'accesso a dati sensibili, distribuire ransomware e installare tattiche di follow-up personalizzate.

Lo studio ha anche evidenziato un aumento dell'80% delle intrusioni interattive nel settore finanziario rispetto all'anno precedente, in cui gli aggressori hanno effettuato attacchi diretti utilizzando attività "hands-on-keyboard". Nel complesso, le intrusioni interattive sono aumentate del 40%.

In parallelo alla disponibilità del Threat Report 2023, Crowdstrike ha annunciato l’avvio di Counter Adversary Operations, che mette insieme l'intelligence della piattaforma Falcon (alimentata dall’intelligenza artificiale) e i team di threat hunting OverWatch. La prima offerta legata a questa novità è Identity Threat Hunting, che riunisce le informazioni più recenti su TTP e motivazioni degli avversari per aiutare a mitigare rapidamente le credenziali compromesse e tracciare i movimenti laterali.