Il rapporto annuale M-Trends di FireEye rileva che gli attacchi finanziari hanno raggiunto un livello di sofisticazione “Nation-State”
FireEye ha rilasciato il suo report annuale M-Trends che ha scoperto come gli attaccanti siano presenti nei network delle organizzazioni EMEA una media di tre mesi e mezzo prima di essere rilevati. Il report è basato su informazioni raccolte durante le indagini condotte dagli analisti di sicurezza FireEye nel 2016 e svela i trend e le tattiche emergenti utilizzati dagli attaccanti per compromettere le organizzazioni.
I punti chiave includono:
· Il tempo di permanenza medio dell’attaccante (dwell time) nelle organizzazioni EMEA è 106 giorni – Il tempo di permanenza medio (la durata in cui un attaccante sta in un ambiente prima di essere rilevato) è pari a 106 giorni. Questo è almeno 103 giorni di troppo, dal momento che gli esperti FireEye sono in grado di ottenere un accesso alle credenziali del dominio dell’amministratore entro tre giorni dall’accesso in un ambiente. Il tempo medio di permanenza è globalmente di 99 giorni, quindi le organizzazioni EMEA sono una settimana più lente nel rispondere rispetto alla media globale. Tuttavia, il tempo medio di permanenza in EMEA è diminuito significativamente rispetto ai precedenti report M-Trends, diventando un quarto del tempo rispetto ai 469 giorni registrati nel 2015.
· Gli attaccanti con motivazioni finanziarie hanno raggiunto nuovi livelli di sofisticazione – questi attaccanti hanno competenze avanzate come gli hacker sponsorizzati dagli Stati (tradizionalmente molto più sofisticati). Nel 2016, gli attaccanti con motivazioni finanziarie si sono spostati verso backdoor personalizzate con una configurazione unica per ogni sistema compromesso, resilienza della propria infrastruttura ulteriormente incrementata e un miglioramento delle tecniche forensi impiegate. Uno dei trend inaspettati rilevati nel 2016, è stato quello che vede gli attaccanti chiamare telefonicamente le vittime per aiutarli ad abilitare le macro in un documento di phishing o per ottenere l’indirizzo email personale.
· Gruppi di cyber criminali russi hanno avuto come obiettivo le elezioni – Nel 2016 FireEye ha osservato gruppi russi che hanno cercato di influenzare le elezioni presidenziali statunitensi e ci sono segnali che questi gruppi rivolgeranno le loro prossime attenzioni anche alle elezioni europee. Incidenti come quello dello scorso anno quando molti politici tedeschi sono stati presi di mira da gruppi Russi continueranno in quanto i cyber attacchi sono visti sempre di più come un modo per influenzare la politica europea.
· Il settore energetico EMEA affronta un rischio elevato – gli attaccanti stanno causando disagi con l’obiettivo di acquisire informazioni riservate in modo da far progredire le capacità delle proprie aziende nazionali. Inoltre, i gruppi di cyber criminali potrebbero colpire i sistemi di controllo industriali per operazioni potenzialmente pericolose e distruttive.
· Capacità di “hunting” più accessibili per analisti meno esperti – la caccia alle minacce era una volta una capacità di nicchia, ma come spesso accade, queste capacità sono diventate meglio codificate e accessibili ad analisti meno esperti in quanto sono diventate disponibili più formazione e strumenti per supportare le competenze. La caccia alle minacce è, infatti, ora tra le competenze più comunemente ricercate nella sicurezza difensiva, e mercati di formazione e educazione si stanno evolvendo per soddisfare questa domanda.
“Nel 2016 abbiamo visto cyber attacchi diffondersi ampiamente e pubblicamente in aree come le elezioni politiche e gli attaccanti sono diventati più sofisticati. Osservando i livelli di dwell time diminuire possiamo vedere che le organizzazioni stanno migliorando; c’è ancora molto da fare in quanto gli attaccanti hanno bisogno solo di pochi giorni per completare i propri obiettivi”, ha dichiarato Stuart McKenzie, Vice President of Mandiant at FireEye. “Il miglioramento si compone di una awareness migliorata, progressi tecnici e investimenti in risorse efficaci. Il Governo ha imposto schemi come GDPR che incoraggiano le aziende ad una migliore organizzazione interna. Tuttavia, rispetto al resto del mondo, l’area EMEA è ancora significativamente indietro in alcune aree ed i vertici aziendali devono attivarsi rapidamente per risolvere questo divario”.