Sophos Active Adversary, leader nella sicurezza informatica, ha pubblicato un nuovo rapporto allarmante. Secondo quanto studiato, emerge un preoccupante aumento nell’uso di app e strumenti legittimi da parte dei cybercriminali per sferrare attacchi informatici.
Questa tecnica, conosciuta come “living off the land“, è cresciuta del 51% rispetto all’anno precedente, rendendo sempre più difficile individuare le minacce nascoste, ad esempio, nei sistemi Windows. “La tecnica living-off-the-land non solo permette di mascherare le attività di un cybercriminale ma fornisce anche una tacita approvazione delle relative azioni“, ha dichiarato John Shier, field CTO di Sophos.
L’abuso del Remote Desktop Protocol (RDP) si è ancora una volta riconfermata la tattica più utilizzata dai cybercriminali che sfruttano app legittime per attaccare ed è presente nell’89% dei casi analizzati. Tale tendenza, emersa già nel 2023, dimostra come gli hacker sfruttino sempre più spesso funzionalità native di Windows per infiltrarsi nei sistemi.
Attacchi cybercriminali con app legittime crescono
La tendenza di sfruttare app e strumenti legittimi per sferrare attacchi cybercriminali sta crescendo. Lo dimostra il gruppo ransomware LockBit che, nonostante le azioni di contrasto delle forze dell’ordine a febbraio, ha mantenuto il suo primato nella prima metà del 2024. Gli esperti sono preoccupati per alcuni fattori chiave.
- Compromissione di credenziali. Questa rimane la principale causa di attacchi, anche se in lieve calo rispetto al 2023.
- Attacchi “living off the land”. Questa minaccia cresce ed è sempre più sofisticata, richiedendo un approccio proattivo alla sicurezza informatica.
Shier ha spiegato: “Se l’abuso di alcuni tool legittimi può sollevare qualche dubbio e magari far suonare un campanello di allarme, l’abuso di un file binario Microsoft genera spesso l’effetto opposto. Molti dei tool Microsoft abusati fanno parte di Windows e la loro presenza è legittima, ma è compito degli amministratori di sistema capire il modo in cui essi vengono usati nei rispettivi ambienti e decidere cosa in particolare possa costituire un abuso. Senza una consapevolezza completa e contestuale dell’ambiente, compresa una continua vigilanza sugli eventi che possono emergere e svilupparsi all’interno della rete, i team IT rischiano di perdere di vista le attività pericolose che spesso rappresentano i prodromi del ransomware”.
Come proteggersi da questi attacchi
Gli esperti, per proteggersi da attacchi cybercriminali tramite app e strumenti legittimi, consigliano di:
- aggiornare sistemi operativi e applicazioni alle versioni più recenti;
- implementare l’autenticazione a due fattori;
- monitorare attentamente l’uso di strumenti legittimi per individuare comportamenti sospetti.
