Mandiant M-Trends 2022: il panorama globale attuale delle minacce informatiche

Mandiant, azienda leader nelle attività di difesa e risposta agli incidenti, presenta l’M-Trends 2022, report annuale che fornisce dati e approfondimenti basati su investigazioni e attività di remediation, in merito agli attacchi informatici ad alto impatto avvenuti a livello globale. L’edizione 2022, che si riferisce alle attività indagate tra il 1° ottobre 2020 e il 31 dicembre 2021, rivela che sono stati ottenuti significativi progressi nel rilevamento e nella risposta alle minacce informatiche; tuttavia, Mandiant continua a osservare gli attaccanti innovare le proprie tecniche di attacco per raggiungere i propri obiettivi.

Secondo il report M-Trends 2022, il dwell time mediano globale, calcolato come il numero medio di giorni in cui un attaccante si trova all’interno della rete di una vittima prima di essere identificato, è diminuito raggiungendo i 21 giorni rispetto ai 24 del 2020. Il report rileva che la regione APAC ha raggiunto la riduzione più significativa (oggi 21 giorni rispetto ai 76 del 2020). Il dwell time mediano è diminuito anche nell’area EMEA (oggi 48 giorni rispetto ai 66 del 2020). Nel continente americano, invece, il dwell time è rimasto stabile a 17 giorni.

Confrontando il modo in cui sono state rilevate le minacce nelle diverse regioni, il report evidenzia che in EMEA e APAC la maggior parte delle intrusioni nel 2021 (rispettivamente 62% e 76) sono state identificate da terze parti (cioè grazie a segnalazioni esterne come i CERT nazionali, forze dell’ordine e aziende di sicurezza private), questo mostra un’inversione di tendenza rispetto a quanto osservato nel 2020.

In America, la maggior parte delle intrusioni è stata rilevata internamente, cioè dai team aziendali preposti dalle stesse organizzazioni (60%).

Visibilità e risposta alle minacce da parte delle organizzazioni sono migliorate; tuttavia, anche la pervasività del ransomware è cresciuta, e possiede un dwell time mediano significativamente inferiore rispetto alle intrusioni non-ransomware. Infatti, l’obiettivo dei gruppi ransomware è quello di cifrare il più ampio numero di sistemi (e spesso portare via dati e informazioni) nella minore quantità di tempo per poi poter ricattare le vittime e chiedere un riscatto: non c’è un interesse nel mantenere le proprie attività malevole nascoste sul lungo periodo come invece interessa ad altre tipologie di aggressori. Questo è probabilmente uno dei fattori che guidano la riduzione del dwell time mediano a livello globale.

Le nuove minacce e l’incremento delle attività di spionaggio cinese

Mandiant continua ad aumentare la sua già vasta base di conoscenza delle minacce attraverso le investigazioni in prima linea, l’accesso ad informazioni monitorando il mercato dei cyber criminali, dati di telemetria da sistemi di sicurezza e l’utilizzo di metodologie di ricerca e di dataset proprietari, analizzati da più di 300 professionisti di threat intelligence in 26 Paesi. Come risultato dell’incessante raccolta e dell’analisi delle informazioni, gli esperti di Mandiant hanno iniziato a tracciare oltre 1.100 nuovi gruppi di aggressori durante il periodo di riferimento dell’M-Trends. Mandiant ha inoltre tracciato 733 nuove famiglie di malware, di cui l’86% non è disponibile pubblicamente, e questo trend mostra come gli aggressori stiano puntando sul mantenere riservati o comunque privati i propri malware invece di ri-utilizzare malware pubblici.

M-Trends 2022 rileva anche un riallineamento e una riorganizzazione delle operazioni di spionaggio informatico da parte della Cina per adeguarsi con il “China’s 14^th Five-Year Plan in 2021”. Il report avverte che le priorità a livello nazionale, incluse nel piano, “segnalano un imminente aumento degli aggressori legati alla Cina che conducono attività per accedere a proprietà intellettuali e a informazioni di importanza strategica, come quelle relative ai prodotti usati nell’industria della difesa e altre tecnologie a ‘doppio uso’”.

Rafforzare la posizione di sicurezza

Mandiant è impegnata ad aiutare le organizzazioni a restare al sicuro dalle minacce informatiche e a costruire e mantenere la fiducia che le aziende ripongono nella propria prontezza di difesa informatica. Per sostenere questa missione, Mandiant fornisce suggerimenti per la riduzione del rischio andando a mitigare le configurazioni errate che se presenti possono comportare compromissioni di sistemi critici come Active Directory (usato per accedere alle password), piattaforme di virtualizzazione e infrastrutture Cloud. Il report rafforza anche le considerazioni per sostenere programmi di sicurezza proattivi, ribadendo l’importanza di possedere iniziative di sicurezza di lunga durata quali la gestione delle risorse, le politiche di conservazione dei log e la gestione di vulnerabilità e l’applicazione delle patch.

A sostegno degli sforzi di community e industria, Mandiant monitora continuamente i suoi risultati nel quadro MITRE ATT&CK, mappando altre 300+ tecniche Mandiant nel framework 2021. Il report M-Trends afferma che le organizzazioni dovrebbero dare priorità alle misure di sicurezza da implementare in base alle probabilità che tecniche specifiche vengano utilizzate nel corso di un’intrusione. Esaminando quali tecniche sono effettivamente prevalenti grazie ai dati di Mandiant, le aziende possono prendere decisioni di sicurezza in modo più efficace.

Ulteriori informazioni chiave presenti nel Report:

• Vettori di infezione: per il secondo anno consecutivo, gli exploit restano il vettore di infezione iniziale più frequentemente identificato. Infatti, in base alla totalità degli incidenti a cui Mandiant ha risposto nel corso del periodo preso in esame, il 37% degli attacchi è iniziato con lo sfruttamento di una vulnerabilità, al contrario del phishing, che rappresenta solo l’11%. Le compromissioni della supply chain sono aumentate drasticamente, da meno dell’1% nel 2020 al 17% nel 2021.
• Settori industriali maggiormente colpiti: i servizi professionali e finanziari, sono i due settori maggiormente colpiti dagli attaccanti (14%), seguiti dalla sanità (11%), retail e hospitality (10%), tecnologia ed enti governativi (entrambi al 9%).
• Nuove TTP di estorsione e ransomware: Mandiant ha osservato che gli attaccanti impiegano nuove tattiche, tecniche e procedure (TTP) per distribuire il ransomware rapidamente e in maniera più efficiente, in particolare sono state osservate diverse compromissioni di infrastrutture di virtualizzazione che sono ora diventate un obiettivo primario per gli attaccanti ransomware.