Il livello di sfruttamento del protocollo RDP più alto rilevato dal 2020, anno della prima pubblicazione dell'Active Adversary Report di Sophos
I servizi remoti esterni sono la via principale attraverso cui gli attaccanti entrano inizialmente nelle reti
Resta basso il tasso di autentificazione multifattore, non implementata nel 43% dei casi analizzati
Sophos, leader mondiale nelle
soluzioni di sicurezza innovative per neutralizzare i cyberattacchi, ha
pubblicato la nuova analisi Active Adversary dal titolo “It’s Oh So Quiet (?):
The Sophos Active Adversary Report for 1H 2024”.
Il report, che analizza oltre 150
risposte a incidenti (IR) gestite dal team Sophos X-Ops nel 2023, evidenzia
come i cybercriminali abbiano sfruttato a proprio vantaggio il protocollo RDP (remote
desktop protocol) — un metodo comune per stabilire l'accesso a sistemi Windows
remoti — nel 90% degli attacchi sferrati.
Si tratta della più alta incidenza di
abusi del protocollo RDP da quando Sophos ha iniziato a
pubblicare i report Active Adversary nel 2021 analizzando i dati relativi al
2020.
I servizi remoti esterni come RDP
sono stati inoltre il vettore più comune attraverso il quale gli autori degli
attacchi sono riusciti a violare le reti, rappresentando la via di accesso
iniziale nel 65% dei casi IR del 2023. I servizi remoti esterni appaiono
regolarmente come il metodo di accesso iniziale più frequente fin dal primo
report Active Adversary pubblicato; chi si difende dovrebbe considerare questo
dato come un chiaro segno della necessità di prioritizzare la gestione di
questi servizi nella valutazione dei rischi aziendali.
“I servizi remoti esterni sono per
molte aziende un requisito necessario ma rischioso. I cybercriminali conoscono
bene i pericoli che questi servizi comportano e cercano attivamente di
sfruttarli per riscuotere il premio che essi promettono. Tenere esposti dei
servizi senza adeguate cautele e tecniche di mitigazione dei relativi rischi
porta inevitabilmente a violazioni informatiche. Non serve molto tempo perché
un attaccante riesca a trovare e violare un server RDP
esposto e, senza controlli supplementari, nemmeno il server Active Directory che lo aspetta dall'altra
parte”, ha dichiarato John Shier, field
CTO di Sophos.
Nel caso di un cliente Sophos
X-Ops, attaccato quattro volte in sei mesi, i cybercriminali hanno ottenuto
l’accesso in tutti i quattro casi grazie a porte RDP esposte. Una volta
all'interno della rete gli autori dell’attacco hanno continuato a muoversi
lateralmente scaricando eseguibili pericolosi, disabilitando le protezioni
degli endpoint e stabilendo le proprie capacità di accesso remoto.
Credenziali compromesse e
sfruttamento delle vulnerabilità sono ancora le due cause primarie di attacco
più comuni. Tuttavia il report 2023 Active Adversary
Report for Tech Leaders, pubblicato lo scorso mese di agosto, aveva
scoperto che nella prima metà dell'anno le credenziali compromesse avevano
superato per la prima volta le vulnerabilità come principale causa primaria di
attacco.
Questa tendenza è proseguita nel
resto del 2023, quando le credenziali compromesse hanno rappresentato la causa
primaria di oltre il 50% delle casistiche IR dell'intero anno. Guardando ai
dati cumulativi raccolti dai report Active Adversary dal 2020 al 2023, le
credenziali compromesse sono anche la principale causa primaria di attacchi di sempre,
riguardando quasi un terzo di tutti i casi IR.
Eppure, nonostante la prevalenza
storica di questa tecnica, l'autenticazione multifattore ha continuato ad
essere assente nel 43% delle casistiche IR del 2023.
Sfruttare le vulnerabilità è stata la seconda
causa primaria di attacchi sia nel 2023 che nel periodo cumulato dal 2020 al
2023, responsabile rispettivamente del 16% e 30% delle casistiche IR.
“La gestione del rischio è un processo attivo. Di fronte a cybercriminali determinati e alle loro costanti minacce, le aziende che la sanno fare bene si trovano in una situazione migliore rispetto a quelle che non ci riescono. Un importante aspetto della gestione dei rischi di sicurezza, oltre alla loro identificazione e prioritizzazione, riguarda la capacità di agire in base alle informazioni raccolte. Eppure, certi rischi come i servizi RDP aperti continuano da troppo tempo a rendere vulnerabili le aziende per la felicità degli autori degli attacchi che possono entrarci dalla porta principale. Proteggere la rete riducendo i servizi esposti e vulnerabili e rafforzando le tecniche di autenticazione aumenta la sicurezza complessiva e consente di rispondere meglio ai cyberattacchi”, ha aggiunto Shier.
L'analisi Sophos Active Adversary Report per il primo semestre 2024 è basata sullo studio di oltre 150 risposte a incidenti (IR) avvenuti in 26 settori di attività a livello mondiale. Le aziende colpite si trovavano in 23 diversi Paesi: Stati Uniti, Canada, Messico, Colombia, Regno Unito, Svezia, Svizzera, Spagna, Germania, Polonia, Italia, Austria, Belgio, Filippine, Singapore, Malesia, India, Australia, Kuwait, Emirati Arabi Uniti, Arabia Saudita, Sudafrica e Botswana.
Per maggiori informazioni è possibile consultare l'analisi It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024 su Sophos.com.
