Si rinnova l’appuntamento annuale con il Report M-Trends 2021 (disponibile QUI), giunto alla dodicesima edizione, che fa il punto sulle minacce e gli attacchi a livello globale in base ai dati raccolti da Mandiant, società poseduta da FireEye, specializzata nella gestione di incidenti informatici e nel supporto alle aziende che devono fronteggiare violazioni. I risultati del Report 2021 si riferiescono e a dati racolti nel periodo compreso tra il 1 ottobre 2019 e il 30 settembre 2020.
Si riduce il dwell time
Un primo dato di interesse emerso riguarda il miglioramento nella capacità delle aziende di individuare le violazioni. Nel 2020 il 59% delle compromissioni è stato individuato tramite risorse interne all’azienda rispetto al 47% nel 2019; la quota restante è legata a segnalzioni da fonti esterne.
Anche il tempo medio globale nell’individuazione di un incidente (il cosiddetto dwell time) appare in netto miglioramento portandosi a 24 giorni rispetto ai 56 che erano stati necessari nel 2019.

“Questo riduzione – spiega Marco Riboli, Vice President Southern Region and BeLux, EMEA di FireEye – è dovuta in parte all’aumento della capacità organizzativa di rilevamento e risposta delle organizzazioni e, dall’altro, è dovuta all’elevato numero di attacchi ransomware avvenuti l’anno scorso che hanno rappresentato il 25% di tutte la attività Mandiant rispetto al 14% del 2019. Si tratta, infatti, di attacchi che, per loro natura, non hanno l’obiettivo di rimanere nascosti a lungo come altre tipologie di minacce. Restringendo la statistica agli attacchi non ransomware il valore medio de dwell time sale a 45 giorni.”
Mandiant evidenzia anche come si stia assistendo a un’evoluzione nelle modalità degli attacchi Ransomware verso un modello di estorsione a più livelli che il vendor definisce “multifaceted”.
Il nuovo approccio è di affiancare la cifratura dei dati mediante ransomware, con il furto di dati sensisbili, la minaccia di diffusione pubblica di questi dati e altre tattiche coercitive.
Mandiant evidenzaia come i settori più colpiti nel corso degli ultimi 10 anni siano rimasti pressochè i medesimi, alternandosi di poco nelle posizioni di classifica. Nel 2020 i primi cinque settori più colpiti sono stati, nell’ordine: business e professional service, retail e hospitality, finanziario, sanità e alta tecnologia.
I gruppi di attacco più attivi
Nel corso della sua storia gli esperti di Mandiant hanno identificato oltre 2400 gruppi di attacco e nel 2020 sono stati individuati 246 gruppi attivi distinti.
Di questi, sei gruppi sono risultati motivati da ragioni di tipo spionistico (ovvero sponsorizati da uno stato) operando prevalentemente tramite attacchi APT (Advanced Persistent Threat). Quattro gruppi si sono indirizzati in modo esclusivo al settore finanziario. I restanti 236 gruppi di attacco non sono ancora stati attribuiti a uno specifico raggruppamento.

Tra i gruppi risultati più attivi c’è quello indicato come FIN11, attivo almeno dal 2016, che si rivolge al settore finanziario.

“FIN11 – spiega Gabriele Zanoni, Country Manager Mandiant Italy – è un gruppo, probabilmente operante nel Commonwealth of Independent States, la comunità composta da nove delle quindici ex repubbliche sovietiche, che si è evoluto molto nel corso del tempo.
Ha cominciato la sua attività criminale con campagne di phishing per poi indirizzarsi verso sistemi di attacco che utilizzano tool pubblici e spostando il suo interesse verso i sistemi POS utilizzati in ambito retail e i ransomware.
Questa evoluzione ha avuto come obiettivo quello di accelerare costantemente il ciclo di ritorno sulle azioni criminali. È stato uno dei primi gruppi a pubblicare materiale delle vittime che non pagavano il riscatto.”
Le categorie di malware
Anche la distribuzione delle categorie di malware identificata da Mandiant risulta relativamente costante anno dopo anno.
Delle 294 famiglie di malware tracciate nel 2020, le prime cinque categorie sono state backdoor (41%), downloader (9%), dropper (9%), ransomware (8%) e launcher (6%).
Le famiglie di malware sono tendenzialmente in aumento e l’evoluzione avviene soprattutto riciclando codice esistente ed effettuando modifiche per cercare di evadere la rilevazione.

Gli strumenti utilzzati negli attacchi rilevati da Mandiant sono spesso di pubblico dominio ma, la maggior parte delle volte, sono stati sviluppati ad hoc per realizzare specifici attacchi.
Gli attacchi presenti nel framework MITRE ATT&CK
Di tutte le attività di attacco mappate dal noto framework Mitre Att&ck Mitre, Mandiant ne ha rilevate il 63%. Inoltre, solo il 23% delle tecniche è stato usato in più del 5% delle intrusioni.
In base a questi risultati Mandianti suggersice un percorso di sicurezza che si focalizzi in modo prioritario su questo 23% di modalità di attacco, per riuscire a dimuire il tempo di rilevamento degli attacchi e ottenere il massimo rapporto tra costi per la difesa ed efficacia di protezione.
