Report sulla risposta agli incidenti - 2025

Report
globale
sulla
risposta
agli incidenti 2025

Registrati per ricevere gli aggiornamenti Contattaci

Executive summary

Cinque principali tendenze emergenti stanno ridefinendo lo scenario delle minacce.

Primo: alle tecniche tradizionali di ransomware ed estorsione gli autori di minacce stanno aggiungendo attacchi concepiti per causare deliberatamente interruzioni nelle operazioni. Nel 2024, l'86% degli incidenti a cui Unit 42 ha risposto riguardava l'interruzione dell'attività, con conseguente downtime operativo, danno reputazionale o entrambi.
Secondo: gli attacchi alla supply chain del software e al cloud stanno crescendo sia in termini di frequenza che di sofisticatezza. Nel cloud, gli autori di minacce spesso sfruttano le vulnerabilità di ambienti configurati in modo errato per eseguire la scansione di reti di vaste dimensioni alla ricerca di dati preziosi. In una sola campagna, gli autori di attacchi hanno eseguito la scansione di oltre 230 milioni di obiettivi unici alla ricerca di informazioni sensibili.
Terzo: la crescente velocità delle intrusioni, amplificata dall'automazione e dalla semplificazione degli strumenti degli hacker, offre ai difensori un tempo minimo per il rilevamento e la risposta. In quasi un caso su cinque, l'esfiltrazione dei dati è avvenuta entro la prima ora dalla compromissione.
Quarto: le organizzazioni sono esposte a un rischio elevato di minacce interne, poiché gli stati-nazione come la Corea del Nord prendono di mira le organizzazioni per rubare informazioni e finanziare iniziative nazionali. I casi di minacce interne legate alla Corea del Nord sono triplicati nel 2024.
Quinto: le prime osservazioni sugli attacchi basati sull'IA rivelano come quest'ultima sia in grado di amplificare la portata e la velocità delle intrusioni.

All'interno di queste tendenze, si assiste anche a un approccio agli attacchi condotto su più fronti, in quanto gli autori di minacce colpiscono diverse aree della superficie di attacco. Di fatto, il 70% degli incidenti a cui Unit 42 ha risposto si è verificato su tre o più fronti, sottolineando la necessità di proteggere contestualmente endpoint, reti, ambienti cloud e il fattore umano. Inoltre, riguardo all'elemento umano, quasi la metà degli incidenti di sicurezza (44%) che abbiamo analizzato, compresi gli attacchi di phishing, i reindirizzamenti dannosi e i download di malware, ha coinvolto un browser Web.

Sulla base delle migliaia di risposte agli incidenti fornite in tanti anni di esperienza, abbiamo identificato tre enabler che consentono agli avversari di avere successo nei loro attacchi: complessità, lacune nella visibilità e fiducia eccessiva. Le architetture di sicurezza frammentate, le risorse non gestite e gli account con autorizzazioni eccessivamente permissive offrono agli autori di attacchi lo spazio necessario per riuscire nel loro intento.

Per affrontare queste sfide, i responsabili della sicurezza devono accelerare il percorso verso Zero Trust, riducendo la fiducia implicita in tutto l'ecosistema. Altrettanto cruciale è proteggere le applicazioni e gli ambienti cloud dallo sviluppo al runtime, assicurando una risoluzione rapida delle configurazioni errate e delle vulnerabilità. Infine, è essenziale offrire ai team delle operazioni di sicurezza una maggiore visibilità e la possibilità di accelerare la risposta, con una visibilità consolidata dei log in ambienti on-premise, cloud e degli endpoint, e con il rilevamento e la correzione delle minacce basati sull'automazione.

1. Introduzione

Nel corso della mia ventennale carriera in qualità di esperto addetto alla risposta, ho assistito a innumerevoli cambiamenti nel panorama delle minacce e nelle tattiche degli autori di attacchi.

Quando il ransomware ha fatto la sua comparsa, la tattica preferita dai criminali informatici è diventata la crittografia dei file, effettuata attraverso il blocco dei file, la richiesta di un riscatto per rilasciare la chiave di crittografia e così via. I backup sono migliorati e la doppia estorsione si è diffusa maggiormente. I criminali informatici hanno fatto ricorso alla molestia (e lo fanno tuttora) per minacciare le aziende e costringerle a pagare, pena la divulgazione pubblica dei loro dati sensibili. Ma anche questa strategia sta perdendo la sua attrattiva.

Quasi ogni mese ricevo una notifica di violazione di dati. A volte apro e leggo queste lettere, ma altre volte, lo ammetto, le sposto direttamente nel cestino. Come molte persone, ho investito in un software di protezione contro il furto d'identità e applico le best practice di igiene informatica. Il numero di queste notifiche è talmente elevato che non è difficile immaginare quali siano le riflessioni di una persona comune: "I miei dati sono trapelati di nuovo, e quindi?" Questo livello di desensibilizzazione è preoccupante. Eppure, nonostante l'indifferenza pubblica, una violazione dei dati può ancora causare danni sostanziali a un'azienda.

Lo scorso anno ha segnato l'ennesimo spostamento dell'attenzione degli autori di attacchi verso l'interruzione intenzionale delle operazioni. Questa nuova fase dell'estorsione a scopo di lucro privilegia il sabotaggio, in cui gli autori di attacchi distruggono intenzionalmente i sistemi, impediscono ai clienti di accedere ai loro ambienti e costringono a downtime prolungati, in modo da mantenere la capacità di avere il massimo impatto con i loro attacchi e ottenere il pagamento dalle organizzazioni.

Nel 2024, Unit 42 ha risposto a oltre 500 attacchi informatici di vasta portata. Questi incidenti hanno coinvolto grandi organizzazioni alle prese con estorsioni, intrusioni di rete, furti di dati, minacce persistenti avanzate e altro ancora. Questi attacchi hanno preso di mira tutti i principali settori industriali in 38 paesi.

Abbiamo risposto a violazioni che si sono verificate a una velocità senza precedenti, causando gravi interruzioni operative e impatti a cascata, dal downtime alle interruzioni di servizio fino ai costi che hanno raggiunto diversi miliardi di dollari. In tutti i casi, la situazione è diventata talmente grave da costringere il centro operativo di sicurezza (SOC) a chiedere assistenza.

Quando Unit 42 viene chiamata, il nostro team di risposta agli incidenti lavora rapidamente per contenere le minacce, condurre le indagini sugli incidenti ed effettuare il restore delle operazioni. Dopo la crisi, collaboriamo con i clienti per rafforzare il loro livello di sicurezza contro gli attacchi futuri.

La missione di Unit 42 è chiara: proteggere il mondo digitale dalle minacce informatiche. Il nostro team, attivo 24 ore su 24, 7 giorni su 7 a livello globale, è unito dall'obiettivo di bloccare gli autori di minacce, cercare le minacce in continuo cambiamento e aiutare le organizzazioni a essere pronte ad affrontare anche gli attacchi più sofisticati e a superarli efficacemente.

Questo report è strutturato in modo da semplificare la consultazione e aiutarti a trovare risultati chiave e informazioni fruibili.

Minacce e tendenze emergenti: uno sguardo a ciò che ci attende in futuro, tra cui l'aumento delle estorsioni basate sull'interruzione dell'operatività, gli attacchi basati sull'IA, gli attacchi basati sul cloud e sulla supply chain del software, le minacce interne degli stati-nazione e la velocità.
Successo degli autori di minacce: analisi delle tattiche, tecniche e procedure efficaci più comuni, dall'accesso iniziale all'impatto.
Raccomandazioni per i difensori: indicazioni pratiche che consentono a dirigenti, responsabili della sicurezza informatica (CISO) e team di sicurezza di rafforzare le proprie difese, creare resilienza e giocare d'anticipo sulle minacce.

Durante la lettura, considera non solo ciò che sta accadendo ora, ma anche ciò che accadrà in futuro e in che modo la tua organizzazione può prepararsi ad affrontare le sfide di un ambiente di minacce sempre più complesso.

Scopri di più Riduci

Pronto a vincere in astuzia nella lotta contro le minacce informatiche?

Leggi i nostri aggiornamenti dei report sulla risposta agli incidenti e gioca d'anticipo!

Ricevi gli aggiornamenti esclusivi del report globale sulla risposta agli incidenti di Unit 42. Sono compresi gli approfondimenti sulle nuove tattiche, tecniche e procedure (TTP) degli autori di minacce, il punto di vista dei nostri esperti di sicurezza sul panorama delle minacce e altro ancora!

Resta informato, resta al sicuro.

2. Minacce e tendenze emergenti

Nel 2025 le organizzazioni dovranno affrontare una complessa combinazione di minacce da parte di criminali informatici mossi da una forte motivazione finanziaria, stati-nazione dotati di ingenti risorse, schemi di insider e hacktivisti ideologicamente motivati. Mentre gli attacchi di estorsione rimangono dominanti tra i gruppi criminali, i sofisticati avversari degli stati-nazione prendono di mira l'infrastruttura critica, le supply chain e i settori chiave. I rischi interni si intensificano, poiché i collaboratori esterni e i dipendenti con accesso privilegiato possono aggirare le difese esterne e gli hacktivisti sfruttano le reti dei social media per coordinare interruzioni su larga scala.

In questo contesto, Unit 42 ha identificato cinque tendenze chiave in cui si osserva l'impatto più significativo e immediato sulle organizzazioni: attacchi estorsivi che causano deliberatamente interruzioni, sfruttamento della supply chain del software e del cloud, aumento della velocità degli attacchi, minacce interne nordcoreane e minacce basate sull'IA.

Tendenza 1. Interruzione delle operazioni aziendali: la terza ondata di attacchi estorsivi

Man mano che le difese e l'igiene informatica migliorano, i backup diventano più diffusi ed efficaci. Gli autori di attacchi sono stati costretti a innovare i propri approcci per avere la certezza di poter imporre pagamenti consistenti e più elevati.

Gli attacchi estorsivi si sono evoluti nell'ultimo decennio: dalla crittografia, all'esfiltrazione e alle tecniche di multi-estorsione, fino all'interruzione deliberata. Sebbene il ransomware rimanga una delle principali minacce, gli autori di attacchi sono passati dalla sola crittografia dei dati a tattiche più dirompenti, come molestare gli stakeholder e minacciare operazioni critiche con conseguente downtime prolungato.

Nel 2024, l'86% degli incidenti a cui Unit 42 ha risposto ha comportato una qualche forma di perdita correlata all'impatto, tra cui:

Interruzione completa del business
Perdite di risorse e correlate alle frodi
Danni al marchio e al mercato a seguito di attacchi pubblicizzati
Aumento dei costi operativi, dei costi legali e normativi e altro ancora

Possiamo definire l'evoluzione degli attacchi estorsivi distinguendo tre ondate.

Ondata 1: all'inizio c'era la crittografia

L'affermazione delle criptovalute ha reso possibile la criminalità su larga scala con un rischio minore per il criminale. Gli autori di minacce hanno rapidamente adottato il ransomware come metodo di attacco redditizio, bloccando i file critici, tenendoli in proprio possesso per chiedere un riscatto ed esigendo il pagamento in criptovalute per sbloccarli. Da allora la criptovaluta è diventata un enabler critico per gli attacchi ransomware perché:

riduce il rischio di identificazione dell'autore dell'attacco;
abbassa la barriera all'ingresso per i criminali informatici;
aiuta l'autore dell'attacco a eludere le forze dell'ordine e le sanzioni internazionali.

In quei primi casi di ransomware, la strategia era semplice: accedere, crittografare i file e uscire. Le indagini condotte da Unit 42 su quel periodo hanno raramente rilevato segni di esfiltrazione dei dati.

Oggi gli autori di attacchi sono più sofisticati e spesso combinano la crittografia con il furto di dati e la doppia minaccia di estorsione, ma la crittografia in sé è ancora una tattica molto utilizzata. Di fatto, gli ultimi dati relativi alla risposta agli incidenti di Unit 42 mostrano che la crittografia rimane la tattica più comune utilizzata nei casi di estorsione e si è mantenuta relativamente stabile negli ultimi 4 anni.

Nel tempo, con il miglioramento delle pratiche di backup dei dati da parte delle organizzazioni, la crittografia come unica tattica di estorsione è diventata meno efficace. I backup hanno aiutato un maggior numero di organizzazioni ad accelerare il ripristino: nel 2024 quasi la metà (49,5%) delle vittime colpite è riuscita a effettuare il restore da un backup. Come si vede nella figura 1, si tratta di un numero cinque volte superiore a quello del 2022, quando solo l'11% delle vittime era in grado di effettuare il restore da un backup.

Figura 1: la percentuale di vittime che hanno eseguito con successo il restore dei file crittografati dal backup è aumentata del 360% tra il 2022 e il 2024.

Tuttavia, queste misure difensive non bastano a contrastare il rischio che gli autori di attacchi pubblichino o vendano i dati rubati.

Scopri di più Riduci

Ondata 2: con l'esfiltrazione dei dati, la posta in gioco aumenta

Poiché l'uso esclusivo della crittografia è diventato meno efficace, gli autori di attacchi sono passati a una nuova tattica di estorsione: l'esfiltrazione dei dati e la conseguente molestia. Oltre a utilizzare i dati esfiltrati per fare pressione sulle vittime attraverso il ricatto e la molestia, i soggetti finanziariamente motivati hanno incrementato i propri flussi di guadagno, ad esempio attraverso la vendita all'asta dei dati sui mercati del dark Web.

Gli autori di attacchi minacciavano di far trapelare pubblicamente le informazioni sensibili nei cosiddetti "siti leak", siti di divulgazione che fungono da vetrina per i dati che sarebbero stati trafugati alle presunte vittime. Alcuni bombardavano dipendenti e clienti con messaggi dannosi.

Tuttavia, sebbene il furto di dati rimanga una tattica diffusa, la sua efficacia ha iniziato a diminuire per diversi motivi. La stanchezza per le violazioni dei dati ha reso le fughe di dati del dark Web meno incisive in termini di induzione al pagamento da parte delle vittime.

Secondo il report sulla violazione dei dati 2023, 353 milioni di vittime hanno subito una fuga di dati solo nel 2023. Inoltre, mentre gli autori di attacchi il più delle volte mantengono le loro promesse, le organizzazioni sono sempre più preoccupate delle volte in cui non lo fanno.

Di fatto, nel 2024 gli autori di attacchi hanno fornito una prova della cancellazione dei dati in meno di due terzi dei casi di furto di dati (solo il 58%). In alcuni casi, Unit 42 si è resa conto che, nonostante l'esibizione di queste presunte "prove", l'autore di minacce aveva conservato almeno una parte dei dati. Anche se due terzi delle volte è comunque la maggior parte delle volte, si tratta di un dato ben lontano dal livello di certezza che la maggior parte dei clienti si aspetta quando paga una cifra (spesso esorbitante) in cambio di qualcosa.

I dati relativi ai siti leak pubblici confermano questa tendenza. Dopo un aumento del 50% delle vittime dei siti leak nel periodo 2022-2023, il numero è aumentato solo del 2% nel 2024. Ciò potrebbe indicare che l'estorsione attuata attraverso il siti leak per costringere ai pagamenti si sta rivelando meno efficace per gli autori di minacce.

Le tattiche di estorsione fanno leva sulla capacità di instillare paura nella vittima e catalizzare la sua attenzione. Per raggiungere questo obiettivo, gli autori di minacce continueranno a evolvere i loro metodi per rimanere in prima linea in fatto di interruzione delle attività.

Questo non significa che gli autori di attacchi stiano abbandonando l'esfiltrazione. Come si vede nella tabella 1, gli autori di minacce continuano a rubare dati per oltre la metà del tempo e l'uso della molestia è in costante aumento. Tuttavia, stanno aggiungendo altre tattiche per avere la certezza di ottenere i pagamenti.

Tattica di estorsione	2021	2022	2023	2024
Crittografia	96%	90%	89%	92%
Furto di dati	53%	59%	53%	60%
Molestia	5%	9%	8%	13%

Tabella 1: Prevalenza di tattiche di estorsione nei casi correlati a tale fenomeno.

L'interruzione deliberata è la fase successiva dell'evoluzione degli attacchi a sfondo finanziario, in quanto gli autori di minacce continuano ad alzare il tiro per attirare l'attenzione delle loro vittime.

Scopri di più Riduci

Ondata 3: interruzione operativa deliberata

Gli autori di attacchi aumentano le pressioni concentrandosi su una terza tattica: l'interruzione deliberata. Nel 2024, l'86% degli incidenti a cui Unit 42 ha risposto ha comportato una qualche forma di perdita di dati che ha causato interruzioni aziendali a livello operativo, reputazionale o di altra natura.

Unit 42 ha osservato che gli autori di attacchi combinavano tecniche di crittografia con il furto di dati e si spingevano oltre, utilizzando altre tattiche per creare interruzioni palesi nelle organizzazioni. Danneggiavano la reputazione del marchio delle vittime o molestavano i loro clienti e partner. Inoltre, gli autori di attacchi eliminavano virtual machine (macchine virtuali, VM) e distruggevano dati (la sezione 5.1 offre una ripartizione completa delle tecniche MITRE ATT&CK utilizzate dagli autori di attacchi per questo tipo di impatto).

Gli autori di attacchi causano interruzioni nell'attività delle vittime che hanno reti di partner profonde su cui fanno affidamento per la conduzione del business. Quando un'organizzazione deve bloccare parti della propria rete per contenere l'autore della minaccia e correggere l'attacco prima di riprendere le operazioni, i partner sono costretti a disconnettersi. Una volta tornati online, il processo di ricertificazione necessario per riconnettersi alla rete comporta ulteriori disagi per loro.

Gli autori di attacchi sofisticati hanno preso di mira le aziende sfruttando queste tattiche, anche nei settori della sanità, dell'ospitalità, della produzione e dell'infrastruttura critica, con l'obiettivo di causare un'interruzione diffusa non solo all'azienda, ma anche ai suoi partner e clienti.

Mentre le aziende sono alle prese con il downtime prolungato, le tensioni nelle relazioni con partner e clienti e gli impatti sui profitti, gli autori di minacce ne approfittano e chiedono pagamenti sempre più esosi. Le aziende che cercano di riportare online i propri sistemi e ridurre al minimo l'impatto finanziario (la cui entità può arrivare a milioni e a volte persino a miliardi di dollari) subiscono un'estorsione che li costringe a pagare somme sempre più elevate. La richiesta iniziale mediana di estorsione è aumentata di quasi l'80%, passando da 695.000 dollari nel 2023 a 1,25 milioni di dollari nel 2024.

Abbiamo anche esaminato le richieste in termini di quanto l'autore della minaccia ritenga che un'organizzazione possa pagare (a tale scopo, ci siamo basati su ciò che l'autore della minaccia poteva trovare cercando fonti pubbliche di informazioni su un'organizzazione). Nel 2024 la richiesta iniziale mediana è pari al 2% del fatturato annuo ipotizzato per l'organizzazione vittima. La metà delle richieste iniziali è compresa tra lo 0,5% e il 5% del fatturato annuo ipotizzato per la vittima. Nella fascia alta, gli autori di attacchi hanno tentato di estorcere somme superiori al fatturato annuo ipotizzato per l'organizzazione vittima.

Tuttavia, mentre le richieste sono aumentate, Unit 42 continua a ottenere risultati nelle negoziazioni per il pagamento finale (condotte per i clienti disposti a pagare). Di conseguenza, il pagamento mediano del riscatto è aumentato di soli 30.000 dollari, passando a 267.500 dollari nel 2024. Quando le organizzazioni pagano, l'importo mediano è inferiore all'1% del loro fatturato ipotizzato (0,6%). La riduzione percentuale mediana negoziata da Unit 42 è quindi superiore al 50% rispetto alla richiesta iniziale.

Scopri di più Riduci

Contromisure: mantenere la resilienza a fronte di un aumento delle interruzioni

Un fattore importante da considerare quando ci si trova ad affrontare minacce che causano interruzioni dell'attività è la resilienza operativa: in caso di interruzioni dei sistemi critici o di dati sensibili bloccati e inaccessibili, è possibile continuare a funzionare? Quali operazioni aziendali occorre mantenere? Quali sono le tue strategie di disaster recovery e backup? I partner di importanza cruciale sono pronti a passare a nuovi sistemi in caso di attacco?

Il modo migliore per scoprirlo è condurre test regolari e simulazioni di incidenti, che convalidano i controlli tecnici, formano i team di risposta e misurano la capacità di mantenere i servizi essenziali. Concentrandoti sulla resilienza, non solo riduci l'impatto finanziario immediato di un attacco, ma proteggi anche la tua reputazione a lungo termine e la fiducia degli stakeholder, che sono risorse fondamentali in un panorama informatico sempre più instabile.

Gli attacchi estorsivi e tutto ciò che ne consegue, ovvero crittografia, furto di dati, molestia e interruzioni intenzionali, non sono una tendenza passeggera. Le strategie di sicurezza informatica devono evolversi continuamente per contrastare le mutevoli tattiche tecniche degli autori di attacchi, riconoscendo al tempo stesso che gli autori di minacce continueranno ad adattarsi per superare le difese più forti.

Tendenza 2. Impatto crescente degli attacchi alla supply chain e al cloud

Poiché le organizzazioni fanno sempre più affidamento sulle risorse cloud sia per le operazioni che per l'archiviazione di dati importanti, gli incidenti legati al cloud o alle applicazioni SaaS sono tra quelli che causano l'impatto maggiore.

Nel 2024, una percentuale leggermente inferiore a un terzo dei casi (29%) era correlata al cloud. Ciò significa che la nostra indagine ha comportato la raccolta di registri e immagini da un ambiente cloud o ha riguardato le risorse ospitate esternamente come le applicazioni SaaS.

Questi casi non rappresentano necessariamente le situazioni in cui gli autori di minacce causano danni agli ambienti o alle risorse cloud. Nel 2024, questo è avvenuto in circa un caso su cinque (21%).

Scopri di più Riduci

Mostra tutto +

La gestione delle identità e degli accessi come fattore contribuente

I problemi di gestione delle identità e degli accessi continuano a essere fattori contribuenti in un elevato numero di casi. I criminali informatici come Bling Libra (distributori del ransomware ShinyHunters) e Muddled Libra ottengono l'accesso agli ambienti cloud sfruttando le configurazioni errate e individuando le credenziali esposte.

Sebbene la mancanza di autenticazione a più fattori (MFA) sia ancora il fattore più diffuso di questo tipo, stiamo riscontrando il problema con una minore frequenza. Nel 2024 ha inciso per un quarto degli eventi, rispetto a circa un terzo nel 2023.

Per altri problemi di gestione delle identità e degli accessi emerge una tendenza preoccupante. Nel 2024 abbiamo osservato una maggiore presenza di problemi legati a policy di accesso e autorizzazioni eccessivamente permissive e alle password, come illustrato nella figura 2 di seguito.

Figura 2: Tendenze nei problemi di gestione delle identità e degli accessi dal 2023 al 2024.

Le configurazioni errate della gestione delle identità e degli accessi (IAM) sono state il vettore di accesso iniziale in circa il 4% dei casi, ma questo dato deve essere considerato insieme alla portata e all'impatto degli attacchi cloud. Incidenti di questo tipo possono colpire un'organizzazione su vasta scala e anche altre organizzazioni se gli autori di minacce sono in grado di impossessarsi delle risorse cloud.

Una campagna di estorsione basata sul cloud ha sfruttato le variabili dell'ambiente esposte, l'uso di credenziali utilizzate da molto tempo e l'assenza di un'architettura con privilegi minimi. Dopo essere riusciti a integrare l'infrastruttura di attacco negli ambienti cloud di diverse organizzazioni, gli autori di minacce l'hanno usata come punto di partenza per colpire altre organizzazioni su larga scala. Ciò ha comportato la scansione di oltre 230 milioni di obiettivi univoci alla ricerca di ulteriori endpoint delle API esposti. Di conseguenza, l'autore della minaccia è riuscito a colpire i file esposti di almeno 110.000 domini, raccogliendo più di 90.000 variabili univoche trapelate. Di queste variabili, 7.000 erano associate a servizi cloud e 1.500 ad account di social media, che spesso includevano i nomi degli account oltre alle informazioni necessarie per l'autenticazione.

In diverse occasioni, Unit 42 ha osservato che, per l'accesso iniziale, gli autori di minacce utilizzano le chiavi di accesso/API trapelate. Ciò spesso offre agli autori di minacce la possibilità di un'ulteriore compromissione. L'uso di account cloud validi (T1078.004) compare ripetutamente nei dati dei nostri casi in relazione alle seguenti tattiche:

Accesso iniziale (13% dei casi in cui abbiamo osservato questa tattica)
Escalation dei privilegi (8%)
Persistenza (7%)
Elusione delle difese (7%)

Esfiltrazione e archiviazione cloud

Scarsi livelli di visibilità e controllo dei sistemi SaaS e basati su cloud

Web scraping e uso improprio delle API

Attacchi abilitati dal cloud

Attacchi alla supply chain del software e al software di terze parti

Nel 2024 abbiamo risposto a numerosi incidenti correlati alla supply chain del software.

Una vulnerabilità critica nella libreria di compressione dei dati XZ Utils è stata identificata prima che potesse causare danni su larga scala. Tuttavia, continua a dimostrare quanto possa essere elevato l'impatto delle compromissioni della supply chain. Secondo Red Hat, al momento della divulgazione gli strumenti e le librerie XZ contenevano "codice dannoso in apparenza destinato a consentire un accesso non autorizzato". Poiché XZ Utils è incluso in una serie di importanti distribuzioni Linux, che a loro volta sono utilizzate da innumerevoli organizzazioni in tutto il mondo, la distribuzione di questo codice dannoso avrebbe potuto causare l'esposizione di migliaia di organizzazioni a livello globale. Frutto di un "lavoro pluriennale", ciò che è successo in XZ Utils evidenzia la necessità per tutte le organizzazioni di implementare best practice relative al software open source integrato nei loro sistemi.

Diverse vulnerabilità nelle appliance VPN hanno anche fatto sorgere preoccupazioni sull'integrità del software di terze parti. Abbiamo visto che queste vulnerabilità sono state utilizzate come vettori di accesso iniziale da parte sia dagli autori di minacce degli stati-nazione che dei criminali informatici.

Gli autori di minacce non hanno sempre bisogno di utilizzare le vulnerabilità per sferrare attacchi alle organizzazioni attraverso software di terze parti. A giugno 2024, la piattaforma di dati basata su cloud Snowflake ha avvertito che alcuni account dei suoi clienti erano stati presi di mira. L'azienda ha dichiarato che, in base alle sue ricerche, gli autori di attacchi stavano utilizzando credenziali precedentemente compromesse (T1078 - Account validi) e ha citato "attacchi in corso a livello di settore, basati sull'identità, con l'intento di ottenere i dati dei clienti".

In un altro caso gestito da Unit 42, gli autori di minacce hanno impiegato mesi per forzare una VPN (T1110 - Brute force). Il successo finale ha consentito loro di accedere e all'ambiente dell'organizzazione e di mantenere la persistenza.

La complessità dell'infrastruttura e la conseguente mancanza di visibilità possono rendere difficile la correzione completa degli attacchi, in particolare quando è integrato software di terze parti.

Contromisure: difesa dagli attacchi alla supply chain e al cloud

Per ridurre il rischio di attacchi alla supply chain e al cloud, è necessario focalizzarsi su alcune tattiche chiave:

Limitazione dell'uso improprio di credenziali: applica controlli IAM rigorosi, concedendo solo i privilegi necessari per ogni ruolo. Utilizza credenziali di breve durata e l'autenticazione a più fattori, ove possibile.
Centralizzazione della registrazione e dell'audit delle risorse cloud di produzione: inoltra i registri all'esterno dell'host di origine per evitare manomissioni e aggregarli per la correlazione tra i servizi. Tieni traccia delle anomalie, come le chiamate API insolite o i trasferimenti di dati di grandi dimensioni.
Monitoraggio dei modelli di utilizzo: utilizza l'analisi dei registri per stabilire i punti di riferimento che indicano un consumo normale delle risorse e attivare avvisi in caso di scostamenti. Gli autori di attacchi spesso registrano picchi di utilizzo della CPU o della larghezza di banda durante l'esfiltrazione dei dati o il cryptomining.
Applicazione tempestiva delle patch: gestisci le librerie di terze parti, le immagini dei container e i componenti open source come parte della tua infrastruttura operativa. Sviluppa un processo per rivedere regolarmente e distribuire in modo rapido gli aggiornamenti di sicurezza.
Protezione delle API e integrazioni della supply chain: applica la limitazione della velocità per impedire tentativi eccessivi di scraping o brute force e utilizza solidi strumenti di scansione per valutare le nuove dipendenze prima di integrarle in produzione.

L'applicazione coerente di queste misure consente ai i team di sicurezza di identificare tempestivamente gli attacchi, limitarne l'impatto e avere la certezza che le risorse cloud e le pipeline software rimangano sotto controllo.

Tendenza 3. Velocità: gli attacchi sono sempre più veloci e i difensori hanno meno tempo per rispondere.

Unit 42 ha osservato una notevole accelerazione degli attacchi informatici, in quanto gli autori di minacce adottano sempre più spesso l'automazione, i modelli di Ransomware-as-a-Service (RaaS) e l'IA generativa (GenAI) per semplificare le campagne. Questi strumenti consentono loro di identificare rapidamente le vulnerabilità, creare esche di social engineering convincenti e, infine, condurre attacchi su larga scala e in modo più veloce.

La velocità degli attacchi costringe le organizzazioni globali a rivalutare le proprie capacità di risposta e a dare priorità al rilevamento precoce. In molti casi, anche poche ore possono determinare il successo dell'autore dell'attacco nel portare a termine la propria missione, che sia il furto di dati, la crittografia o l'interruzione operativa. Poiché gli autori di attacchi continuano a perfezionare i metodi utilizzati e ad accelerare le tempistiche, la necessità di misure di sicurezza proattive e di una risposta rapida agli incidenti è fondamentale.

Uno dei modi in cui Unit 42 misura la velocità degli attacchi è il tempo di esfiltrazione, ossia la velocità con cui un autore di attacchi riesce a esfiltrare i dati rubati dopo la compromissione iniziale.

Nel 2024, il tempo mediano di esfiltrazione negli attacchi a cui Unit 42 ha risposto è stato di circa due giorni. Si tratta di un notevole lasso di tempo perché le organizzazioni spesso impiegano diversi giorni per rilevare e correggere una compromissione.

Esaminando il sottoinsieme di casi in cui l'esfiltrazione è avvenuta più rapidamente, la velocità di esfiltrazione è ancora più preoccupante.

In un quarto dei casi, il tempo trascorso dalla compromissione all'esfiltrazione è stato inferiore a cinque ore.
Si tratta di una velocità tre volte superiore a quella del 2021, quando per il primo quartile di casi l'esfiltrazione avveniva in meno di 15 ore.

In un'ampia percentuale di incidenti, gli autori di attacchi sono ancora più veloci.

In un caso su cinque (19%), il tempo trascorso dalla compromissione all'esfiltrazione è stato inferiore a un'ora.

In tre casi recenti a cui Unit 42 ha risposto, abbiamo osservato la velocità degli autori di attacchi in azione:

RansomHub (tracciato da Unit 42 come Spoiled Scorpius) ha avuto accesso alla rete di un'amministrazione municipale attraverso una VPN priva di autenticazione a più fattori. A distanza di sette ore dall'accesso, l'autore di minacce aveva esfiltrato 500 GB di dati dalla rete.

Un autore di minacce ha sottoposto a brute force un account VPN per accedere a un'università. Dopo aver individuato un sistema privo di protezione XDR, ha distribuito il ransomware ed esfiltrato i dati nel giro di 18 ore.

Muddled Libra (noto anche come Scattered Spider) ha sottoposto a social engineering l'help desk di un provider di servizi per accedere a un account PAM (Privileged Access Manager). Utilizzando questo accesso, si è impossessato delle credenziali memorizzate e compromesso un account con privilegi di dominio, il tutto in soli 40 minuti. Dopo essersi assicurato l'accesso al dominio, l'autore della minaccia ha violato un vault di gestione delle password e aggiunto un account compromesso all'ambiente cloud del cliente, effettuando l'escalation delle autorizzazioni per consentire l'esfiltrazione dei dati.

I difensori hanno meno tempo che mai per identificare, rispondere e contenere un attacco. In alcuni casi, hanno meno di un'ora per rispondere.

Tuttavia, stiamo compiendo progressi nella riduzione del tempo di permanenza, che si misura in termini di numero di giorni in cui un autore di attacchi è presente dell'ambiente della vittima prima che un'organizzazione lo scopra o lo rilevi. Il tempo di permanenza nel 2024 è diminuito del 46%, passando a 7 giorni dai 13 giorni del 2023. Questo dato conferma la tendenza alla riduzione osservata rispetto al 2021, quando il tempo di permanenza era di 26,5 giorni.

Scopri di più Riduci

Contromisure: difesa dagli attacchi più veloci

Per migliorare la tua difesa contro attacchi sempre più veloci, prendi in considerazione le seguenti tattiche:

Misurazione dei tempi di rilevamento e risposta: tracciando e migliorando continuamente il tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR) il SOC diventa più veloce.
Utilizzo dell'analisi basata sull'IA: centralizza le origini di dati e identifica le anomalie in tempo reale, facendo emergere gli avvisi critici più rapidamente rispetto ai metodi manuali.
Utilizzo di playbook automatizzati: definisci preventivamente le azioni di contenimento per isolare gli endpoint compromessi o bloccare gli account utente in pochi minuti.
Test continui: conduci regolarmente simulazioni di situazioni di emergenza ed esercitazioni del Red Team per avere la certezza che il team SecOps possa passare senza problemi dal rilevamento alla risposta.
Priorità delle risorse ad alto rischio: concentra le capacità di risposta rapida sui sistemi più critici, dove il downtime o la perdita di dati causerebbe i danni maggiori.

Integrando la visibilità in tempo reale, le informazioni dell'IA e i flussi di lavoro automatizzati, puoi battere anche gli avversari più veloci.

Tendenza 4. L'aumento delle minacce interne:
l'ondata di minacce interne della Corea del Nord

Le minacce interne rappresentano uno dei rischi più elusivi per qualsiasi organizzazione, poiché sfruttano l'accesso privilegiato e i rapporti di fiducia da cui le aziende dipendono per operare. La capacità di eludere molte difese esterne le rende estremamente difficili da rilevare.

Di recente, i gruppi di minaccia dello stato-nazione della Corea del Nord hanno sferrato attacchi ancora più dirompenti contro le minacce interne, collocando propri agenti in posizioni tecniche all'interno di organizzazioni internazionali. La campagna che noi tracciamo come Wagemole (nota anche come "IT Workers") ha trasformato i ruoli di ingegneria stessi in un'ulteriore superficie di attacco. Questo processo genera centinaia di milioni in dollari e in altre valute forti per il regime nordcoreano.

Gli autori di minacce nordcoreani sfruttano i processi di assunzione tradizionali utilizzando identità rubate o sintetiche supportate da portafogli tecnici dettagliati, che possono includere referenze legittime ottenute attraverso la manipolazione delle identità e precedenti storie lavorative reali che superano le verifiche di base.

Circa il 5% dei nostri casi di risposta agli incidenti nel 2024 riguardava minacce interne e il numero di quelle legate alla Corea del Nord è triplicato rispetto all'anno precedente. Sebbene una maggiore consapevolezza della minaccia possa aver indotto un numero più elevato di clienti a cercarla, è significativo che questi autori di minacce continuino a operare.

Nessun settore ne è immune. Nel 2024, questi criminali hanno esteso il loro raggio d'azione a servizi finanziari, media, vendita al dettaglio, logistica, intrattenimento, telecomunicazioni, servizi IT e terzisti che operano nel settore della difesa governativa. Le grandi aziende tecnologiche sono rimaste gli obiettivi principali.

Scopri di più Riduci

Mostra tutto + Nascondi tutto -

Forza lavoro a contratto

Queste campagne sono in genere rivolte alle organizzazioni che utilizzano ruoli tecnici a contratto. Le società di selezione del personale diventano facilitatori inconsapevoli dei programmi dei lavoratori IT nordcoreani a causa di:

Processi di verifica abbreviati per soddisfare le richieste di personale urgenti
Meccanismi limitati di verifica delle identità
Scarsa visibilità dei fornitori di forza lavoro in subappalto
Forti pressioni ad assumere rapidamente in un mercato competitivo

Sebbene gli agenti nordcoreani siano riusciti a ottenere posizioni a tempo pieno, la forza lavoro a contratto rimane il loro vettore di infiltrazione più utilizzato.

Evoluzione delle tattiche

La sofisticatezza tecnica di questi agenti si è evoluta. Mentre un tempo facevano affidamento su strumenti commerciali di gestione remota, di recente hanno iniziato ad adottare approcci più raffinati.

L'aspetto più preoccupante è il crescente utilizzo di soluzioni KVM over IP basate su hardware: piccoli dispositivi che si collegano direttamente alle porte video e USB dei sistemi di destinazione, fornendo funzionalità di controllo remoto in grado di eludere la maggior parte degli strumenti di monitoraggio degli endpoint. Tali dispositivi sono collegati ai computer forniti dalla stessa organizzazione presa di mira per promuovere gli obiettivi degli autori di minacce.

Le funzioni di tunneling di Visual Studio Code, originariamente progettate per lo sviluppo remoto legittimo, ora vengono utilizzate come canali occulti per mantenere l'accesso.

La natura di queste operazioni comporta problemi di rilevamento perché molti agenti dispongono di vere e proprie competenze tecniche. Il loro accesso sembra legittimo perché lo è. Svolgono il lavoro assegnato e contemporaneamente perseguono i loro veri obiettivi.

Le minacce rappresentate dai falsi lavoratori IT

Dopo essere stati inseriti in un'azienda, oltre a percepire illegalmente stipendi che contribuiscono a sostenere il regime, questi insider svolgono una serie di attività dannose:

Esfiltrazione di dati: esfiltrazione sistematica di dati aziendali sensibili e di documentazione interna, utilizzando le policy di sicurezza, i report sulle vulnerabilità e le guide ai colloqui per eludere meglio il rilevamento e al tempo stesso prendere di mira i dati dei clienti, il codice sorgente e la proprietà intellettuale.
Distribuzione di strumenti non autorizzati: introduzione di strumenti di gestione remota e di altri strumenti non autorizzati per mantenere l'accesso o prepararsi a un ulteriore sfruttamento.
Modifica del codice sorgente: con l'accesso a un repository di codice sorgente, l'autore della minaccia può inserire codice backdoor, potenzialmente in grado di abilitare l'accesso non autorizzato al sistema in organizzazioni di maggiori dimensioni o di manomettere le transazioni finanziarie.
Estorsione: in alcuni casi, gli agenti sfruttano i dati rubati per chiedere riscatti, con la minaccia di divulgare informazioni proprietarie. In alcuni casi, hanno dato seguito a queste minacce.
False segnalazioni: gli autori di minacce possono segnalare "persone di fiducia" all'organizzazione, con conseguente assunzione di altri falsi lavoratori IT. In alcuni casi, le persone assunte non sono altro che cloni del referente originale, che utilizza diverse identità false per fingere di essere più persone.

Contromisure: difesa dalle minacce interne

I dipendenti IT nordcoreani sono passati da uno schema che prevedeva semplicemente la raccolta di denaro a una strategia di minacce interne più elusiva, che prende di mira un'ampia gamma di organizzazioni a livello globale. L'investimento strategico del regime in queste operazioni costituisce un impegno a lungo termine volto a sostenere tale approccio.

La difesa da questa minaccia richiede un cambiamento nel modo in cui le organizzazioni affrontano la gestione della forza lavoro e la sicurezza.

Affrontare le minacce interne non richiede solo controlli tecnici, ma esige una cultura della consapevolezza della sicurezza e un monitoraggio attivo delle attività degli utenti, in particolare di quelli con privilegi elevati.

Misure come l'implementazione di policy con privilegi minimi e l'adozione di controlli approfonditi sul background possono contribuire a ridurre al minimo il potenziale utilizzo improprio. Inoltre, le organizzazioni devono prestare molta attenzione agli indicatori comportamentali, come i trasferimenti di dati insoliti o gli accessi al sistema effettuati in prossimità dell'orario di uscita. A questo proposito, è importante avere la capacità di aggregare gli indicatori provenienti da origini di dati diverse. Un comportamento che di per sé può apparire innocuo, insieme ad altri segnali potrebbe indicare la necessità di un'indagine.

In definitiva, la fiducia deve essere bilanciata dalla verifica. Un singolo incidente interno può compromettere anni di progressi organizzativi, minacciare la proprietà intellettuale e danneggiare la reputazione. Attraverso il rafforzamento dei processi interni, il monitoraggio degli accessi privilegiati e una maggiore attenzione verso la sicurezza a tutti i livelli, le aziende possono ridurre notevolmente la probabilità di eventi interni dannosi.

Tendenza 5. L'emergere degli attacchi basati sull'IA

Sebbene sia ancora in fase iniziale, l'uso dannoso della GenAI sta già trasformando il panorama delle minacce informatiche. Gli autori di attacchi utilizzano metodi basati sull'IA per rendere più convincenti le campagne di phishing, automatizzare lo sviluppo di malware e accelerare i progressi lungo la catena di attacco, rendendo gli attacchi informatici più difficili da rilevare e più veloci da eseguire. Anche se in questo momento l'uso della GenAI da parte degli avversari è più evolutivo che rivoluzionario, non bisogna commettere errori: la GenAI sta già trasformando le capacità di attacco.

Mostra tutto + Nascondi tutto -

Miglioramento delle capacità di attacco con la GenAI

Gli strumenti di GenAI, in particolare gli LLM, vengono sfruttati sia dalle APT nazionali sia dai criminali informatici finanziariamente motivati per semplificare e amplificare gli attacchi. Queste tecnologie automatizzano compiti complessi che in precedenza richiedevano un notevole intervento manuale, accelerando l'intero ciclo di vita dell'attacco.

Gli LLM, ad esempio, possono creare e-mail di phishing estremamente convincenti che imitano le comunicazioni aziendali legittime con una precisione senza precedenti, aumentando il tasso di successo delle campagne di phishing e rendendole più difficili da rilevare con le difese tradizionali basate sulle firme. I gruppi malevoli vendono già strumenti in grado di creare deepfake convincenti (si va da offerte gratuite a "piani aziendali" con deepfake a partire da 249 dollari al mese).

Nello sviluppo di malware, gli LLM contribuiscono a generare e offuscare il codice dannoso, consentendo agli autori di attacchi di creare malware polimorfo in grado di eludere i meccanismi di rilevamento standard. Automatizzando la creazione degli script di exploit e mettendo a punto i payload del malware, l'IA antagonista abbassa le barriere tecniche per gli autori di minacce meno qualificati, ampliando il bacino dei potenziali autori di attacchi. Inoltre, gli strumenti basati sull'IA migliorano la capacità di identificare e sfruttare le vulnerabilità.

Velocità e IA

Uno degli impatti più profondi degli attacchi basati sull'IA è l'aumento della velocità e dell'efficienza degli attacchi informatici. Le operazioni che in passato richiedevano alcuni giorni o alcune settimane ora possono essere completate in pochi minuti.

Per finalità di test, i ricercatori di Unit 42 hanno simulato un attacco ransomware integrando la GenAI in ogni fase dell'attacco. La figura 3 mostra la velocità di un attacco prima dell'uso della GenAI, misurata in termini di tempo mediano effettivamente osservato nelle nostre indagini di risposta agli incidenti, rispetto al tempo impiegato quando si utilizza la GenAI.

Con IA

Senza IA

Figura 3: Differenze di velocità in un attacco simulato, prima e dopo l'utilizzo di tecniche basate sull'IA.

I nostri test hanno portato il tempo di esfiltrazione da una mediana di due giorni a 25 minuti, con un'accelerazione di circa 100 volte. Sebbene si tratti di risultati di laboratorio, è evidente che questa rapida progressione dalla ricognizione allo sfruttamento riduca notevolmente il "time to impact", rendendo difficile per le organizzazioni rispondere in tempo per mitigare i danni.

Contromisure: difesa dagli attacchi basati sull'IA

Queste tattiche possono aiutarti a difenderti dagli attacchi basati sull'IA:

Implementare il rilevamento basato sull'IA per individuare i modelli dannosi alla velocità della macchina, correlando i dati provenienti da più origini.
Formare il personale affinché riconosca i tentativi di phishing, deepfake e social engineering generati dall'IA.
Includere simulazioni antagoniste che utilizzano tattiche basate sull'IA in simulazioni di una situazione di emergenza per prepararsi ad attacchi rapidi e su larga scala.
Sviluppare flussi di lavoro automatizzati in modo che il SOC possa contenere le minacce prima che avvenga lo spostamento o l'esfiltrazione di dati.

3. In che modo gli autori di attacchi vanno a segno: tattiche, tecniche e procedure efficaci più comuni

Gli autori di minacce continuano ad aumentare la velocità, la portata e la sofisticatezza degli attacchi. Ciò consente loro di arrecare danni diffusi in breve tempo, rendendo difficile per le organizzazioni rilevare le loro attività e mitigarle in modo efficace.

Nei dati dei nostri casi, abbiamo notato due tendenze chiave:

Gli autori di minacce attaccano spesso le organizzazioni su più fronti.

Nell'analisi delle strategie adottate dagli autori di minacce per raggiungere i loro obiettivi, abbiamo osservato un passaggio dall'ingegneria sociale agli attacchi a endpoint, risorse cloud e altri sistemi, come illustrato nella tabella 2.

Fronti di attacco	Percentuale di casi
Endpoint	72%
Umano	65%
Identità	63%
Rete	58%
E-mail	28%
Cloud	27%
Applicazione	21%
SecOps	14%
Database	1%

Tabella 2: Fronti di attacco in cui abbiamo osservato l'azione degli autori di minacce.

Nell'84% degli incidenti, gli autori di minacce hanno attaccato su più fronti la vittima presa di mira (nel 70% dei casi, su tre o più fronti). In alcuni incidenti a cui abbiamo risposto, gli autori di minacce hanno attaccato su ben otto fronti.

La crescente complessità degli attacchi richiede una visione unificata di tutte le origini di dati. Nell'85% dei casi, gli addetti alla risposta agli incidenti di Unit 42 hanno dovuto accedere a più tipi di origini di dati per completare le indagini. I difensori devono prepararsi ad accedere e a elaborare in modo efficiente le informazioni provenienti da queste origini diverse all'interno dell'organizzazione.

Il browser è uno strumento chiave per le minacce.

Quasi la metà degli incidenti di sicurezza che abbiamo analizzato (44%) ha comportato attività dannose avviate o facilitate dal browser usato dai dipendenti, ad esempio il phishing, l'utilizzo improprio di reindirizzamenti URL e il download di malware, che sfruttano la sessione del browser senza essere rilevati o bloccati adeguatamente.

L'interazione dell'utente con link, domini o file dannosi, unita a controlli di sicurezza insufficienti, ha causato la compromissione. Le organizzazioni devono migliorare la visibilità e implementare solidi controlli a livello di browser per rilevare, bloccare e rispondere a queste minacce prima che si diffondano.

Le sezioni riportate di seguito contengono le nostre osservazioni sulle intrusioni, nonché gli approfondimenti sulle tecniche di attacco più comuni che abbiamo ottenuto dai dati dei casi gestiti da Unit 42.

Scopri di più Riduci

3.1. Intrusione: crescita dell'ingegneria sociale, sia diffusa che mirata

Nel 2024 il phishing si è riconfermato il vettore di accesso iniziale più comune nei casi gestiti da Unit 42, rappresentando circa un quarto dei nostri incidenti (23%), come mostrato nella figura 4.

Mostra tutto

Figura 4: Vettori di accesso iniziale osservati negli incidenti a cui Unit 42 ha risposto nel corso degli anni. Altri tipi di social engineering includono la contaminazione del SEO, il malvertising, lo smishing, il bombardamento MFA e la compromissione dell'help desk. Altri vettori di accesso iniziale sono l'utilizzo improprio di rapporti o strumenti affidabili e le minacce interne.

I vettori di accesso iniziale, da soli, non forniscono un quadro esaustivo. A diversi vettori di accesso iniziale corrispondono spesso profili e obiettivi diversi da parte degli autori di minacce. Ad esempio, una volta ottenuto l'accesso tramite phishing, il tipo di incidente associato più comune è stato quello della compromissione dell'e-mail (76% dei casi), seguito a distanza dall'estorsione, in particolare dal ransomware (quasi il 9%).

Gli autori di minacce degli stati-nazione, a cui è imputabile una piccola ma significativa percentuale di incidenti, prediligono le vulnerabilità di software/API come vettore di accesso iniziale.

I difensori dovrebbero essere consapevoli di quanto sia frequente l'uso di credenziali precedentemente compromesse, che spesso gli autori di attacchi acquistano dai broker di accesso iniziale. Le ricerche nel deep Web e nel dark Web possono spesso rivelare credenziali precedentemente compromesse.

Alcuni vettori di accesso iniziale meno comuni possono causare compromissioni significative. Ad esempio, Unit 42 continua a osservare il gruppo di criminalità informatica Muddled Libra, che ottiene l'accesso alle organizzazioni attraverso il social engineering dell'help desk. Tuttavia, anche altri autori di minacce stanno sfruttando questa tecnica, ad esempio coloro che sono motivati finanziariamente.

Gli autori di minacce che utilizzano questo tipo di tecnica perpetuano le frodi senza l'uso di malware, armati di documenti d'identità contraffatti o di numeri di telefono VoIP geo-localizzati nella città in cui risiedono le loro vittime. La percentuale di attacchi mirati nei nostri dati è passata dal 6% nel 2022 al 13% nel 2024.

Scopri di più Riduci

Contromisure: difesa dagli attacchi di social engineering

I difensori devono continuare a utilizzare strategie di difesa approfondite per prepararsi a far fronte ai vettori di accesso iniziale più comuni e ridurre al minimo l'impatto degli autori di minacce che riescono ad accedere ai sistemi.

La formazione in materia di sicurezza è indispensabile per preparare i dipendenti a resistere agli attacchi di social engineering e non deve limitarsi al phishing e allo spear phishing, ma deve comprendere anche:

Strategie per migliorare la sicurezza fisica (per prevenire, ad esempio, il tailgating)
Best practice contro la perdita dei dispositivi
Azioni da intraprendere qualora i dispositivi vengano rubati o lasciati incustoditi
Indicatori di minacce interne
Campanelli di allarme che occorre conoscere quando si effettuano le chiamate all'help desk
Segnali di deepfake

3.2. Approfondimenti sulle tecniche di attacco ottenuti dai dati dei casi gestiti da Unit 42

Sulla base delle tattiche e delle tecniche utilizzate dagli autori di attacchi più sofisticati nel 2024, i nostri analisti di threat intelligence hanno identificato tre punti chiave per i difensori:

Qualsiasi tipo di accesso può essere utile per gli autori di attacchi. Anche se un gruppo di minacce sembra concentrato su altri obiettivi, è comunque importante essere preparati a difendere la propria organizzazione da questi attacchi.
Gli autori di minacce avanzate non sempre utilizzano attacchi complessi. Se un approccio più semplice è efficace, lo useranno.
Nonostante la prevalenza dell'estorsione, non tutti gli autori di minacce annunciano la propria presenza. Gli autori di minacce degli stati-nazione, ad esempio, sono spesso capaci di rimanere in una rete compromessa in modo silenzioso, soprattutto attraverso tecniche di "vivere della terra".

Le sezioni seguenti approfondiscono le tecniche utilizzate dai gruppi di minaccia degli stati-nazione di altri autori di minacce motivati.

Mostra tutto + Nascondi tutto -

Ogni accesso è importante

Le organizzazioni spesso non si preoccupano di difendersi da specifici autori di minacce, nella convinzione che siano concentrati su altri obiettivi. Tuttavia, in molti casi abbiamo avuto la dimostrazione tangibile che i gruppi persistenti tendono a colpire molte organizzazioni lungo il percorso per raggiungere i loro obiettivi finali.

Nel corso del 2024, Unit 42 ha seguito molte organizzazioni che hanno subito violazioni da parte di autori di minacce di stati-nazione, i quali non sempre perseguono direttamente obiettivi di spionaggio. A volte si impadroniscono dei dispositivi in vista di un'attività futura ( T1584 - Compromissione di un'infrastruttura).

Ad esempio, Insidious Taurus, noto anche come Volt Typhoon, è diventato famoso perché utilizza in modo improprio questi dispositivi opportunisticamente compromessi (spesso router di rete con accesso a Internet e risorse dell'Internet of Things) per creare botnet che eseguono il proxy del traffico di rete di tipo command-and-control verso o da altre vittime.

È stato anche osservato che gli autori di minacce prendono di mira e compromettono i provider di tecnologia per raccogliere specifiche informazioni sensibili sui clienti o persino per sfruttare l'accesso interconnesso alle vittime a valle (T1199 - Relazione affidabile).

La tua rete potrebbe essere ancora a rischio di compromissione da parte degli autori di minacce, anche se sei tu il loro obiettivo diretto.

I colpi da maestro non sempre sono nuovi o sofisticati

Il termine "advanced persistent threat (minaccia persistente avanzata, APT)" ha creato l'illusione che tutte le attività degli avversari siano nuove e complesse. In realtà, anche gli autori di minacce che dispongono di adeguate risorse spesso seguono la strada più semplice, ad esempio lo sfruttamento di vulnerabilità note (e anche vecchie) (T1190 - Sfruttamento di un'applicazione rivolta al pubblico), il semplice utilizzo improprio di funzioni di accesso remoto legittime (T1133 - Servizi remoti esterni) o il furto di informazioni utilizzando servizi online esistenti e popolari (T1567 - Esfiltrazione su servizio Web).

Assistiamo a problemi di sistema ed errori che si ripetono frequentemente nelle reti, come configurazioni errate e dispositivi con accesso a Internet. Ciò riduce le barriere per gli utenti malevoli.

L'attività successiva alla compromissione può avvenire dopo molto tempo ed essere silenziosa

La maggior parte degli incidenti riguardava autori di minacce motivati finanziariamente, molti dei quali si muovono in modo veloce e annunciano la loro presenza per finalità di estorsione. Tuttavia, si verificano anche incidenti in cui gli avversari evitano di attivare gli avvisi e si sforzano di eludere i meccanismi di difesa, ad esempio per scopi di spionaggio.

A volte gli autori di attacchi sfruttano ulteriormente la complessità delle reti nascondendosi nel "rumore" dell'attività che gli utenti si aspettano. Utilizzano in modo improprio le funzioni per altri versi legittime di un ambiente compromesso, un approccio noto come "vivere della terra". Il successo che gli autori di attacchi possono ottenere con questo approccio evidenzia la sfida, spesso ingestibile per i difensori, di distinguere le attività legittime da quelle dannose.

Per fare un esempio molto comune nel mondo reale, sei in grado di distinguere immediatamente tra amministratori e APT osservando le seguenti azioni?

Comandi eseguiti
Modifiche alla configurazione di sistema
Accessi
Traffico di rete

Tecnica	Tendenze 2024
T1078 - Account validi	Questa è stata una delle principali tecniche osservate come vettore di accesso iniziale e rappresenta oltre il 40% dei tipi di tecniche raggruppate osservate in associazione a questa tattica. Probabilmente è abilitata da vulnerabilità presenti nella gestione delle identità e degli accessi e nella gestione della superficie d'attacco (ASM), quali: Assenza di MFA (28% dei casi) Password deboli/predefinite (20% dei casi) Controlli insufficienti su brute force/blocco degli account (17% dei casi) Eccessive autorizzazioni per gli account (17% dei casi).
T1059 - Interprete di comandi e scripting	Questa è stata la principale tecnica di esecuzione (oltre il 61% dei casi associati alla tattica di esecuzione che utilizza in modo improprio PowerShell, ad esempio). Altre utility di sistema comunemente utilizzate includono altri dispositivi Windows, Unix, dispositivi di rete e shell specifiche di applicazioni per l'esecuzione di vari compiti.
T1021 - Servizi remoti	L'utilizzo improprio di questi servizi è stata la tecnica più osservata per il movimento laterale (dei tipi di tecniche raggruppate osservate in associazione a questa tattica, oltre l'86% riguardava servizi remoti). Ciò amplifica ulteriormente la tendenza verso il riutilizzo di credenziali legittime. Invece che per i casi d'uso più tradizionali, queste credenziali vengono utilizzate per eseguire l'autenticazione attraverso protocolli di rete interni come RDP (oltre il 48% dei casi), SMB (oltre il 27% dei casi) e SSH (oltre il 9% dei casi).

Tecnica

Tendenze 2024

T1078 - Account validi

Questa è stata una delle principali tecniche osservate come vettore di accesso iniziale e rappresenta oltre il 40% dei tipi di tecniche raggruppate osservate in associazione a questa tattica. Probabilmente è abilitata da vulnerabilità presenti nella gestione delle identità e degli accessi e nella gestione della superficie d'attacco (ASM), quali:

Assenza di MFA (28% dei casi)
Password deboli/predefinite (20% dei casi)
Controlli insufficienti su brute force/blocco degli account (17% dei casi)
Eccessive autorizzazioni per gli account (17% dei casi).

T1059 - Interprete di comandi e scripting

Questa è stata la principale tecnica di esecuzione (oltre il 61% dei casi associati alla tattica di esecuzione che utilizza in modo improprio PowerShell, ad esempio). Altre utility di sistema comunemente utilizzate includono altri dispositivi Windows, Unix, dispositivi di rete e shell specifiche di applicazioni per l'esecuzione di vari compiti.

T1021 - Servizi remoti

L'utilizzo improprio di questi servizi è stata la tecnica più osservata per il movimento laterale (dei tipi di tecniche raggruppate osservate in associazione a questa tattica, oltre l'86% riguardava servizi remoti). Ciò amplifica ulteriormente la tendenza verso il riutilizzo di credenziali legittime. Invece che per i casi d'uso più tradizionali, queste credenziali vengono utilizzate per eseguire l'autenticazione attraverso protocolli di rete interni come RDP (oltre il 48% dei casi), SMB (oltre il 27% dei casi) e SSH (oltre il 9% dei casi).

Tabella 3: Tecniche di "vivere della terra" più importanti nei casi di risposta agli incidenti gestiti da Unit 42.

Oltre alle tecniche di "vivere della terra", abbiamo osservato un certo numero di autori di minacce, in particolare quelli coinvolti nel ransomware, che tentano di utilizzare gli strumenti di disabilitazione dell'EDR per "modificare il territorio" come parte delle loro operazioni. Quasi il 30% dei tipi di tecniche raggruppate osservate associate all'evasione della difesa comportava l'utilizzo della tecnica "T1562 - Compromissione delle difese. Ciò include sotto-tecniche quali:

Sebbene esistano numerose strategie, stiamo assistendo a un aumento del numero di violazioni messe in atto da autori di minacce attraverso la tecnica Bring Your Own Vulnerable Driver (BYOVD), che consente loro di ottenere le autorizzazioni necessarie per eludere o addirittura attaccare l'EDR e altre difese installate su un host compromesso. Le tecniche correlate includono:

Contromisure: difesa contro le TTP efficaci più comuni

I difensori devono avere una comprensione chiara della superficie di attacco interna ed esterna dell'organizzazione. Conduci una valutazione periodica per capire quali siano i dati o i dispositivi accessibili o esposti sulla rete Internet pubblica allo scopo di ridurre al minimo le impostazioni di accesso remoto pericolose e le configurazioni errate. Rimuovi i sistemi operativi che non sono più supportati da aggiornamenti di sicurezza regolari e sii consapevole delle vulnerabilità dei tuoi sistemi, compresi quelli meno recenti, specialmente se hanno il codice PoC pubblicato.

Gestisci un punto di riferimento del tuo ambiente, che includa account, software/applicazioni e altre attività il cui utilizzo sia approvato. Implementa una solida registrazione e sfrutta gli strumenti analitici che possono aiutarti a creare rapidamente connessioni tra più origini di dati per individuare modelli di comportamento insoliti.

4. Raccomandazioni per i difensori

Questa sezione esamina più da vicino le criticità sistemiche sfruttate con maggiore frequenza dagli autori di attacchi e le strategie mirate per contrastarle. Gestendo in modo proattivo questi fattori, le organizzazioni possono ridurre notevolmente il rischio informatico, rafforzare la resilienza e mantenere un vantaggio decisivo contro le minacce attuali ed emergenti.

4.1. Fattori contribuenti comuni

I fattori contribuenti comuni sono criticità sistemiche che consentono agli autori di minacce di riuscire sempre nel loro intento. Affrontando questi problemi in modo proattivo, le organizzazioni riducono sia la probabilità che l'impatto degli attacchi informatici.

Esaminando migliaia di incidenti, abbiamo identificato tre enabler principali: la complessità, le lacune nella visibilità e la fiducia eccessiva. Questi fattori consentono l'accesso iniziale, permettono alle minacce di diffondersi senza essere rilevate e amplificano i danni complessivi. Affrontarli in modo diretto rafforzerà notevolmente le difese e migliorerà la resilienza.

Mostra tutto + Nascondi tutto -

1. Complessità della sicurezza: deleteria per l'efficacia delle SecOps e della risposta agli incidenti

Gli ambienti IT e di sicurezza di oggi spesso sono un guazzabuglio di applicazioni legacy, infrastruttura "bolt-on" e iniziative di trasformazione incomplete. Questo porta molte organizzazioni a utilizzare innumerevoli strumenti di sicurezza eterogenei. Acquistati in modo frammentario per gestire le singole minacce, questi strumenti in genere non sono integrati, creano silos di dati e impediscono ai team di avere una visione unificata dei loro ambienti.

Nel 75% degli incidenti che abbiamo analizzato, le prove critiche dell'intrusione iniziale erano presenti nei registri. Tuttavia, a causa dei sistemi complessi e scollegati, tali informazioni non erano facilmente accessibili o utilizzabili in modo efficace, e ciò consentiva agli autori di attacchi di sfruttare le lacune senza essere rilevati.

Al tempo stesso, la presenza di più origini di dati è essenziale per un rilevamento e una risposta efficaci. Circa l'85% degli incidenti ha richiesto la correlazione di dati provenienti da più origini per comprendere appieno la portata e l'impatto. Quasi la metà (46%) ha richiesto la correlazione di dati provenienti da quattro o più origini. Quando questi sistemi non comunicano, o la telemetria è incompleta, gli indizi essenziali rimangono nascosti finché non è troppo tardi.

Caso esemplare:
in un attacco ransomware, il sistema di rilevamento e risposta degli endpoint (EDR) ha rilevato il movimento laterale, mentre la compromissione iniziale era nascosta nei registri di rete non monitorati. Questa visibilità frammentata ha ritardato a lungo il rilevamento, offrendo agli autori di attacchi tutto il tempo necessario per esfiltrare i dati e distribuire i payload del ransomware.

2. Lacune nella visibilità: non si può proteggere ciò che non si conosce

La visibilità a livello di intera azienda è fondamentale per operazioni di sicurezza efficaci, eppure le lacune sono ancora molto diffuse. I servizi cloud, in particolare, rappresentano una sfida significativa. Unit 42 ha rilevato che le organizzazioni attivano in media 300 nuovi servizi cloud al mese. In assenza di un'adeguata visibilità del runtime, i team SecOps non sono consapevoli né delle esposizioni né degli attacchi. Le risorse non gestite e non monitorate, che si tratti di endpoint, applicazioni o shadow IT, offrono agli autori di attacchi facili punti di ingresso nell'ambiente di un'organizzazione.

Di fatto, i problemi relativi agli strumenti e alla gestione della sicurezza sono stati un fattore contribuente in quasi il 40% dei casi. Queste lacune hanno consentito agli autori di attacchi di infiltrarsi, effettuare il movimento laterale e procedere all'escalation dei privilegi senza essere rilevati.

Caso esemplare:
in un incidente, Muddled Libra ha utilizzato un account utente con privilegi per elevare le autorizzazioni nell'ambiente AWS del cliente e ottenere le autorizzazioni necessarie per l'esfiltrazione di dati. Poiché il servizio cloud non era integrato con il SOC o il SIEM dell'organizzazione, l'attività sospetta inizialmente non è stata rilevata.

3. Una fiducia eccessiva amplifica l'impatto

L'accesso eccessivamente permissivo comporta pericoli elevati. Negli incidenti a cui rispondiamo, gli autori di attacchi sfruttano costantemente account eccessivamente permissivi e controlli di accesso inadeguati per intensificare gli attacchi.

Di fatto, nel 41% degli incidenti, era presente almeno un fattore contribuente correlato ai problemi di gestione delle identità e degli accessi, tra cui account e ruoli eccessivamente permissivi. Ciò determina movimento laterale e accesso a informazioni e applicazioni sensibili e, in ultima analisi, consente agli autori di attacchi di riuscire nel loro intento.

Anche in questo caso gli ambienti cloud sono particolarmente vulnerabili: i ricercatori di Unit 42 hanno scoperto che in quasi la metà degli incidenti legati al cloud era presente almeno un fattore contribuente correlato a problemi di gestione delle identità e degli accessi, tra cui account e ruoli eccessivamente permissivi.

In molti casi, gli autori di attacchi hanno ottenuto un accesso molto più ampio di quanto sarebbe stato giustificato dai tipi di ruoli compromessi. Una volta ottenuto l'accesso iniziale, tramite phishing, furto di credenziali o sfruttamento delle vulnerabilità, la fiducia eccessiva consente agli autori di attacchi di effettuare rapidamente l'escalation dei privilegi, esfiltrare i dati e causare interruzioni delle operazioni.

Caso esemplare:
in un'azienda di servizi IT gli autori di attacchi hanno sfruttato account di amministrazione eccessivamente permissivi per effettuare un movimento laterale e procedere all'escalation dei privilegi dopo aver sottoposto a brute force una VPN senza autenticazione a più fattori. Questa fiducia eccessiva ha consentito loro di distribuire il ransomware su 700 server ESXI, causando interruzioni nelle principali operazioni aziendali e colpendo oltre 9.000 sistemi.

4.2. Raccomandazioni per i difensori

Gestendo la complessità, le lacune nella visibilità e la fiducia eccessiva, le organizzazioni possono ridurre considerevolmente il rischio e l'impatto degli attacchi informatici. In questo modo, oltre a evitare downtime prolungati e costose operazioni di ripristino delle violazioni, mantengono anche la continuità operativa e la fiducia degli stakeholder. Le seguenti raccomandazioni includono strategie per affrontare in modo diretto questi problemi sistemici.

Mostra tutto +

1. Offri ai team delle operazioni di sicurezza una visibilità maggiore e una capacità di risposta più veloce

Il SOC è l'ultima linea di difesa. Quando i controlli di rete, identità, endpoint o applicazioni falliscono, questo team ha bisogno di strumenti e capacità per rilevare e rispondere rapidamente, prima che si verifichi l'escalation delle minacce. Il SOC può contare su una visibilità completa in tutta l'azienda e sulla tecnologia necessaria per distinguere i veri problemi dai falsi positivi.

Acquisisci tutti i dati di sicurezza rilevanti: aggrega e standardizza i dati di telemetria dell'infrastruttura cloud, dei sistemi on-premise, delle identità, degli endpoint e delle applicazioni per creare un'unica fonte di verità. Oltre a ridurre le lacune, questa vista unificata riduce anche la complessità legata all'uso di più strumenti. Associa la superficie di attacco interna ed esterna per classificare tutte le risorse e i relativi proprietari, e integrare le informazioni sulle minacce per dare priorità agli indicatori ad alto rischio.
Rileva definisci le priorità delle minacce con funzionalità basate sull'IA: usa l'intelligenza artificiale e l'apprendimento automatico per passare in rassegna ampi set di dati, identificando minacce nascoste e comportamenti anomali. Le analisi comportamentali basate sull'IA contribuiscono a prevedere gli attacchi prima che si manifestino completamente. Il SOC deve misurare l'MTTD per misurare i miglioramenti. La ricerca delle minacce condotta regolarmente e la correlazione dei segnali provenienti da più origini gestiscono il problema dell'"ago nel pagliaio".
Rendi possibile la risposta alle minacce in tempo reale con l'automazione: l'automazione dei flussi di lavoro di risposta agli incidenti è fondamentale per contenere le minacce alla velocità della macchina, prima che un autore di attacchi possa effettuare l'escalation dei privilegi o esfiltrare dati sensibili. Il SOC deve tenere traccia dell'MTTR per favorire il miglioramento continuo. L'integrazione fluida tra piattaforme SOC, sistemi IT e applicazioni aziendali elimina anche i colli di bottiglia manuali che ritardano la correzione.
Passa da una sicurezza reattiva a una proattiva: combina le esercitazioni del Red Team, la simulazione di incidenti e le valutazioni continue della sicurezza per perfezionare la logica di rilevamento e i playbook di risposta. Questo ciclo di feedback coerente assicura che il SOC possa adattarsi man mano che emergono nuove minacce. L'aumento delle competenze del SOC attraverso la formazione avanzata colma le lacune nelle conoscenze e garantisce che l'organizzazione sia pronta ad affrontare la prossima ondata di attacchi.
Migliora le risorse che hai a disposizione con gli esperti in risposta agli incidenti: la presenza di un team di risposta agli incidenti dedicato, come quello di Unit 42, garantisce il supporto da parte di esperti in caso di escalation degli incidenti. Oltre alla risposta alle emergenze, i crediti Retainer possono finanziare servizi proattivi come la ricerca di minacce, le simulazioni di una situazione di emergenza e le valutazioni del Purple Team, rafforzando la tua preparazione e mettendo a punto le difese prima che gli aggressori colpiscano.

Allineando il SOC a questi principi fondamentali, la tua organizzazione potrà battere gli avversari, contenere rapidamente gli incidenti e migliorare le difese in anticipo rispetto ai rischi emergenti.

2. Accelera il percorso verso Zero Trust

Zero Trust è un modello di sicurezza strategico incentrato sull'eliminazione della fiducia implicita e sulla convalida continua di ogni utente, dispositivo e applicazione, indipendentemente dalla posizione o dalla piattaforma. Per quanto un'adozione completa possa essere complessa, anche i progressi incrementali riducono il rischio, proteggono i dati sensibili e creano resilienza. Queste raccomandazioni di alto livello si riferiscono ai tre fattori contribuenti comuni (complessità, lacune nella visibilità e fiducia eccessiva), assicurando che il percorso Zero Trust risolva direttamente queste criticità.

Identifica e verifica tutti gli utenti, i dispositivi e le applicazioni: autentica in modo coerente ogni entità, che sia una persona o una macchina, prima di autorizzare l'accesso, in sede o da remoto. In questo modo si colmano le lacune e si riduce la complessità, garantendo un'unica fonte di verità per l'identità. Le entità verificate devono poi essere monitorate costantemente, riducendo al minimo gli accessi non autorizzati.
Applica in modo rigido un accesso con privilegi minimi: concedi ai ruoli solo le autorizzazioni all'accesso di cui hanno bisogno, basate su regole contestuali che tengono conto dell'identità, del livello di sicurezza dei dispositivi e della sensibilità dei dati. In questo modo neutralizzi il problema della "fiducia eccessiva", limitando la portata dei danni in caso di compromissione di un account. La segmentazione della rete isola ulteriormente le risorse critiche e impedisce agli autori di attacchi di effettuare movimenti laterali.
Applica un'ispezione di sicurezza olistica: analizza il traffico di rete, compresi i flussi crittografati, per prevenire e rilevare le minacce attive senza compromettere le prestazioni. Adatta i controlli per ambienti diversi (ad esempio, cloud, IoT) in modo da ridurre la complessità operativa ed evitare lacune nella visibilità. Questo approccio di ispezione integrata aumenta la precisione di rilevamento delle minacce e accelera la risposta agli incidenti.
Controllo dell'accesso e dello spostamento dei dati: proteggi le informazioni sensibili classificando i dati e applicando solide policy di gestione. Le tecnologie di data loss prevention (prevenzione della perdita di dati, DLP) monitorano i flussi e bloccano i trasferimenti non autorizzati, proteggendo l'organizzazione da furti di proprietà intellettuale, violazioni della conformità e conseguenze finanziarie.

Adottando i principi Zero Trust, anche gradualmente, non solo gestisci i fattori chiave che consentono agli autori di attacchi di agire, ma costruisci anche un modello di sicurezza sostenibile che può contare sul supporto del team dirigenziale.

3. Proteggi le applicazioni e il cloud dallo sviluppo al runtime

Poiché gli avversari prendono di mira gli ambienti cloud e le supply chain del software, è fondamentale integrare la sicurezza in DevOps, ottenere visibilità in tempo reale sulle configurazioni errate e le vulnerabilità, e consentire al team SecOps di monitorare e rispondere continuamente agli attacchi basati su cloud per giocare sempre d'anticipo sulla minaccia. Le raccomandazioni riportate di seguito spiegano come integrare la sicurezza in ogni fase, prevenendo le violazioni prima della produzione e contenendo rapidamente le minacce in tempo reale.

Impedisci che i problemi di sicurezza raggiungano la produzione: integra la sicurezza in una fase tempestiva del ciclo di vita dello sviluppo. Proteggi gli strumenti di sviluppo e DevOps, gestisci i componenti di terze parti e open source, ed esegui scansioni continue durante il processo CI/CD. Questo approccio shift-left fa emergere le vulnerabilità prima che raggiungano la produzione.
Correggi i punti deboli della sicurezza appena scoperti: monitora costantemente l'infrastruttura cloud per individuare eventuali configurazioni errate, vulnerabilità e autorizzazioni eccessive. La scansione automatica e la correzione basata sul rischio assicurano che, una volta emersi, i problemi vengano identificati e contenuti rapidamente. Si tratta di passaggi fondamentali per fermare gli autori di attacchi prima che riescano a infiltrarsi.
Identifica e blocca gli attacchi runtime: proteggi applicazioni, API e carichi di lavoro con il rilevamento delle minacce in tempo reale e i controlli preventivi. Il monitoraggio continuo aiuta a neutralizzare le attività dannose in corso, riducendo al minimo le interruzioni operative e bloccando gli autori di attacchi prima che le minacce si trasformino in problemi.
Automatizza il rilevamento e la risposta nel cloud: sfrutta i servizi cloud-native e gli strumenti di sicurezza di terze parti per orchestrare la risposta automatizzata agli incidenti. La rimozione dei colli di bottiglia manuali riduce il tempo che gli autori di attacchi hanno a disposizione per agire, esfiltrare i dati o effettuare l'escalation dei privilegi.

Concentrandoti su queste funzionalità contrasti le minacce emergenti nella supply chain del cloud e del software, assicurando che i tentativi di violazione dell'ambiente vengano bloccati tempestivamente.

5. Appendice: Tecniche MITRE ATT&CK^® per tattica, tipi di indagine e altri dati di casi

5.1 Panoramica delle tecniche MITRE ATT&CK osservate per tattica

La serie di grafici riportata di seguito (figure 5-16) mostra le tecniche MITRE ATT&CK^® che abbiamo osservato in associazione a tattiche specifiche. Tieni presente che le percentuali indicate rappresentano la diffusione di ciascuna tecnica rispetto agli altri tipi di tecniche identificate per ogni tattica, non indicano la frequenza con cui le tecniche sono emerse nei casi.

Accesso iniziale

Figura 5: Diffusione relativa delle tecniche osservate in associazione con la tattica di accesso iniziale

5.2. Dati per regione e settore

Il tipo di indagine più comune che abbiamo condotto nel 2024 è stata l'intrusione di rete (circa il 25% dei casi). L'elevato numero di questo tipo di indagine è un fatto positivo, perché utilizziamo questa classificazione quando l'intrusione nella rete è l'unica attività dannosa che osserviamo. A nostro avviso, l'aumento di questo tipo di indagine indica che, almeno in alcuni casi, i clienti ci contattano in una fase tempestiva della catena di attacco e questo può portare a fermare gli autori di attacchi prima che abbiano la possibilità di raggiungere altri obiettivi.

Sebbene i difensori di tutti i settori e aree geografiche condividano molte delle stesse preoccupazioni, abbiamo riscontrato alcune differenze in base all'area geografica e al settore.

In Nord America, la compromissione dell'e-mail aziendale è stata di poco superiore all'intrusione di rete (19% dei casi contro 23%). In EMEA, se si considerano tutti i tipi di estorsione (con e senza crittografia), questa supera leggermente l'intrusione di rete nei nostri dati (il 31% dei casi contro il 30%).

Esaminando i dati del settore, emerge in modo evidente quanto l'estorsione sia un problema rilevante. Nel settore della tecnologia avanzata, l'estorsione con e senza crittografia è stata anche il tipo di indagine principale (22%). Lo stesso vale per il settore manifatturiero, che è quello più comunemente rappresentato nei siti leak del dark Web dei gruppi ransomware (25%).

La compromissione dell'e-mail aziendale rimane una minaccia sostanziale, in particolare per i servizi finanziari (25% dei casi), i servizi professionali e legali (23%) e la vendita all'ingrosso e al dettaglio (21%).

A parte la percentuale sostanziale di casi che coinvolgono o hanno un impatto sui servizi cloud delle organizzazioni, assistiamo a una piccola ma crescente tendenza di casi incentrati principalmente su compromissioni del piano di controllo del cloud o del piano dati. Si tratta del 4% del numero complessivo di casi, ma è più elevata in settori come la tecnologia avanzata e i servizi professionali e legali (9% dei casi per entrambi). Questi attacchi specificamente incentrati sul cloud hanno un potenziale di impatto significativo. Nel caso di attacchi al piano di controllo del cloud, gli autori di attacchi possono ottenere l'accesso all'intera infrastruttura cloud di un'organizzazione. Gli attacchi al piano dati possono raccogliere un'elevata quantità di dati sensibili, considerati il tipo e la portata dei dati che in genere vengono archiviati nel cloud.

Scopri di più Riduci

Tipo di indagine per regione

Nord America

Figura 17: Tipo di indagine per regione - Nord America

Tipo di indagine per settore

Le figure da 19 a 24 mostrano una ripartizione dei principali tipi di indagine associati ai sei settori più rappresentati nei nostri dati di risposta agli incidenti.

Tecnologia avanzata

Figura 19: Tipo di indagine per settore - Tecnologia avanzata

6. Dati e metodologia

I dati raccolti per questo report provengono da oltre 500 casi a cui Unit 42 ha risposto tra ottobre 2023 e dicembre 2024, oltre che da altri dati di casi risalenti al 2021.

I nostri clienti spaziano dalle piccole organizzazioni con meno di 50 dipendenti alle aziende Fortune 500 e Global 2000 e alle organizzazioni della pubblica amministrazione con oltre 100.000 dipendenti.

Le organizzazioni colpite avevano sede in 38 paesi. Circa l'80% delle organizzazioni prese di mira si trovava negli Stati Uniti. I casi correlati a organizzazioni con sede in Europa, Medio Oriente e Asia-Pacifico costituiscono il restante 20%. Gli attacchi hanno spesso un impatto che si estende oltre le sedi delle organizzazioni.

Combiniamo questi dati di casi con le informazioni della nostra ricerca sulle minacce, che si basa sulla telemetria dei prodotti e sull'osservazione dei siti leak del dark Web e di altri dati open source.

Anche i responsabili degli incidenti hanno condiviso le loro osservazioni sulle tendenze chiave basate sulla collaborazione diretta con i clienti.

Diversi fattori possono incidere sulla natura dei nostri dati, tra cui la tendenza a lavorare con organizzazioni di maggiori dimensioni e con profili di sicurezza più maturi. Abbiamo anche scelto di mettere in evidenza i casi che, a nostro avviso, rivelano tendenze emergenti, il che per alcuni argomenti significa concentrarsi su segmenti più piccoli del set di dati.

Per alcuni argomenti, abbiamo scelto di filtrare i dati per eliminare i fattori che potrebbero distorcere i risultati. Ad esempio, abbiamo offerto i nostri servizi di risposta agli incidenti per aiutare i clienti a condurre indagini sui potenziali impatti di CVE-2024-3400 e ciò ha determinato un'eccessiva rappresentazione di questa vulnerabilità nel nostro set di dati. In alcuni punti abbiamo corretto i dati per eliminare questa sovrarappresentazione.

Il nostro principio guida è sempre stato quello di fornire al lettore informazioni sul panorama delle minacce presenti e future, consentendo di migliorare la difesa.

Collaboratori:

Aditi Adya, Consulente

Jim Barber, Consulente senior

Richard Emerson, Responsabile, Unità di risposta basata sull'intelligence

Evan Gordenker, Responsabile senior per la consulenza

Michael J. Graven, Direttore, Operazioni di consulenza globali

Eva Mehlert, Dirigente senior di livello executive e responsabile per le comunicazioni interne, Unit 42

Lysa Myers, Redattore tecnico senior

Erica Naone, Responsabile senior, Coinvolgimento esterno Unit 42

Dan O'Day, Direttore per la consulenza

Prashil Pattni, Ricercatore di minacce senior

Laury Rodriguez, Consulente

Sam Rubin, Vicepresidente senior, Consulenza e threat intelligence Unit 42

Doel Santos, Capo ricercatore di minace

Mike Savitz, Direttore senior per la consulenza

Michael Sikorski, Direttore tecnico e Vicepresidente per l'ingegneria, Unit 42

Samantha Stallings, Redattore senior di produzione

Jamie Williams, Capo ricercatore per la threat intelligence

Report sulla risposta agli incidenti - 2025

Executive summary

1. Introduzione

SAM RUBIN

Pronto a vincere in astuzia nella lotta contro le minacce informatiche?

Leggi i nostri aggiornamenti dei report sulla risposta agli incidenti e gioca d'anticipo!

Resta informato, resta al sicuro.

2. Minacce e tendenze emergenti

Ondata 1: all'inizio c'era la crittografia

Ondata 2: con l'esfiltrazione dei dati, la posta in gioco aumenta

Ondata 3: interruzione operativa deliberata

Contromisure: mantenere la resilienza a fronte di un aumento delle interruzioni

Tendenza 2. Impatto crescente degli attacchi alla supply chain e al cloud

Tendenza 3. Velocità: gli attacchi sono sempre più veloci e i difensori hanno meno tempo per rispondere.

Contromisure: difesa dagli attacchi più veloci

Tendenza 4. L'aumento delle minacce interne: l'ondata di minacce interne della Corea del Nord

Forza lavoro a contratto

Evoluzione delle tattiche

Le minacce rappresentate dai falsi lavoratori IT

Contromisure: difesa dalle minacce interne

Tendenza 5. L'emergere degli attacchi basati sull'IA

Miglioramento delle capacità di attacco con la GenAI

Velocità e IA

Contromisure: difesa dagli attacchi basati sull'IA

3. In che modo gli autori di attacchi vanno a segno: tattiche, tecniche e procedure efficaci più comuni

Gli autori di minacce attaccano spesso le organizzazioni su più fronti.

Il browser è uno strumento chiave per le minacce.

3.1. Intrusione: crescita dell'ingegneria sociale, sia diffusa che mirata

Contromisure: difesa dagli attacchi di social engineering

3.2. Approfondimenti sulle tecniche di attacco ottenuti dai dati dei casi gestiti da Unit 42

Ogni accesso è importante

I colpi da maestro non sempre sono nuovi o sofisticati

L'attività successiva alla compromissione può avvenire dopo molto tempo ed essere silenziosa

Contromisure: difesa contro le TTP efficaci più comuni

4. Raccomandazioni per i difensori

4.1. Fattori contribuenti comuni

1. Complessità della sicurezza: deleteria per l'efficacia delle SecOps e della risposta agli incidenti

2. Lacune nella visibilità: non si può proteggere ciò che non si conosce

3. Una fiducia eccessiva amplifica l'impatto

4.2. Raccomandazioni per i difensori

5. Appendice: Tecniche MITRE ATT&CK® per tattica, tipi di indagine e altri dati di casi

5.1 Panoramica delle tecniche MITRE ATT&CK osservate per tattica

5.2. Dati per regione e settore

Tipo di indagine per regione

Tipo di indagine per settore

6. Dati e metodologia

Collaboratori:

Tendenza 4. L'aumento delle minacce interne:
l'ondata di minacce interne della Corea del Nord

5. Appendice: Tecniche MITRE ATT&CK^® per tattica, tipi di indagine e altri dati di casi