Il tempo di permanenza dei cybercriminali nelle reti delle loro vittime è aumentato del 36%

Il tempo di permanenza dei cybercriminali nelle reti delle loro vittime è aumentato del 36%. A renderlo noto è “Active Adversary Playbook 2022”, il report di Sophos, un’azienda che si occupa di sicurezza informatica con sede in Inghilterra. I comportamenti cybercriminali sono stati osservati sul campo dal team di Rapid Response nel corso del 2021. Il dato più rilevante è senz’altro quello che indica un aumento del tempo di permanenza dei cybercriminali all’interno dei sistemi colpiti, con un valore mediano di 15 giorni rispetto agli 11 del 2020.

LEGGI ANCHE >>> Per proteggere davvero i dati, backup e ripristino vanno fatti in un certo modo

Il tempo di permanenza dei cybercriminali nelle reti è aumentato

Il report sottolinea anche l’impatto delle vulnerabilità ProxyShell all’interno di Microsoft Exchange. Secondo Sophos, tali vulnerabilità sono sfruttate da alcuni Initial Access Broker (IAB) per violare le reti e rivendere il loro accesso ad altri malintenzionati. «Il mondo del cybercrimine è diventato incredibilmente variegato e specializzato. Gli Initial Access Broker (che forniscono al comparto della criminalità informatica l’accesso ai sistemi IT delle aziende) hanno sviluppato una vera e propria industria che viola un bersaglio, ne esplora l’ambiente IT o installa una backdoor, e quindi rivende l’accesso alle gang che si occupano di ransomware», ha spiegato John Shier, senior security advisor di Sophos. «In questo scenario sempre più dinamico e specializzato – ha aggiunto – può essere difficile per le aziende tenere il passo con l’evoluzione dei tool e degli approcci usati dai cybercriminali. È essenziale che chi si difende sappia cosa cercare in ogni stadio della sequenza di attacco, così da poter rilevare e neutralizzare i tentativi di violazione più rapidamente possibile».

Cosa succede nelle aziende più piccole

Sophos evidenzia, inoltre, che il tempo di permanenza degli intrusi sia maggiore negli ambienti IT delle aziende più piccole: “circa 51 giorni nelle realtà fino a 250 dipendenti contro i 20 giorni in quelle da 3.000 a 5.000 dipendenti”. «I cybercriminali attribuiscono un valore superiore alle aziende più grandi, quindi sono maggiormente motivati a entrare, fare ciò che devono e quindi uscirne. Le aziende più piccole hanno un ‘valore’ percepito inferiore, quindi i malintenzionati possono permettersi di restare dentro la rete per periodi di tempo più lunghi. È anche possibile che in questi casi gli autori degli attacchi siano meno esperti e quindi occorra loro più tempo per capire cosa fare una volta dentro la rete. Le piccole aziende, inoltre, hanno generalmente meno visibilità sulle sequenze di attacco e di conseguenza fanno più fatica a rilevare e neutralizzare le violazioni prolungando così la presenza dei cybercriminali», commenta Shier. «Con le opportunità che scaturiscono dalle vulnerabilità ProxyLogon e ProxyShell non risolte e dalla diffusione degli Initial Access Broker, stiamo verificando sempre più spesso la presenza di più attaccanti all’interno di una stessa vittima. Se in una rete ci sono più malintenzionati, ciascuno di essi vorrà agire più rapidamente possibile per battere la concorrenza sul tempo».