Trace Id is missing

Sintesi dell'intelligence sulle minacce per il 2023: informazioni dettagliate e sviluppi chiave

Un cerchio rosso nel cielo

È stato un anno incredibile per Microsoft Threat Intelligence. L'elevato volume di minacce e attacchi rivelati attraverso oltre 65 trilioni di segnali che monitoriamo ogni giorno ci ha fornito molti punti di flessione, in particolare mentre notiamo un cambiamento nel modo in cui gli attori di minacce stiano scalando e sfruttando il supporto degli stati-nazione. Nell'ultimo anno si sono verificati più attacchi che in qualsiasi altro periodo e le relative sequenze stanno diventando ogni giorno più complesse. I tempi di attesa si sono ridotti. Inoltre, abbiamo assistito a un'evoluzione di tecniche, tattiche e procedure (TTP), che ora sono più flessibili e difficili da rilevare. L'analisi approfondita di questi incidenti ci consente di individuarne i criteri, in modo da elaborare una risposta alle nuove minacce e prevedere quale potrebbe essere la prossima mossa. Lo scopo dell'analisi di tecniche, tattiche e procedure (TTP) in relazione al 2023 consiste nel fornire una panoramica generale dell'intelligence sulle minacce tramite ciò che abbiamo rilevato esaminando gli incidenti che si sono verificati in tutto il mondo. Di seguito alcuni punti salienti che Sherrod DeGrippo e io vogliamo condividere con te e diversi estratti video del nostro intervento in occasione di Ignite 2023.

John Lambert,
Microsoft Corporate Vice President e Security Fellow

Tassonomia per la denominazione degli attori di minacce

Nel 2023 Microsoft ha adottato una nuova tassonomia per la denominazione degli attori di minacce, ispirata alle condizioni meteorologiche, che (1) si adatta meglio alla complessità, alla portata e al volume in costante crescita delle minacce moderne e (2) rappresenta un modo più semplice, organizzato e facile da ricordare per indicare i gruppi antagonisti.1

Microsoft suddivide gli attori di minacce in cinque gruppi principali:

Operazioni di influenza statale: Tormenta, tempesta, inondazione, tsunami, bufera, tempesta di sabbia, grandine.

In base alla nuova tassonomia adottata, un evento meteorologico o il nome di una famiglia rappresenta una delle categorie indicate sopra. Agli attori di minacce che appartengono allo stesso gruppo meteorologico viene assegnato un aggettivo per distinguere i vari gruppi, ad eccezione dei gruppi in fase di sviluppo, che vengono indicati con un numero a quattro cifre.

Tendenze del 2023 in relazione a tattiche, tecniche e procedure (TTP) delle minacce

Mancato uso di strumenti e malware personalizzati

I gruppi di attori di minacce che pongono un forte accento sulla segretezza hanno accuratamente evitato l'uso di malware personalizzati, prediligendo strumenti e processi già presenti sul dispositivo della vittima per nascondere loro stessi e altri attori di minacce che ricorrono a metodi analoghi per lanciare attacchi. 2

John Lambert, Microsoft Corporate Vice President e Security Fellow, illustra brevemente in che modo gli attori di minacce evitano di usare strumenti personalizzati troppo vistosi per operare in totale segretezza. Guarda ora il video in basso:

Integrazione di operazioni informatiche e di influenza (IO)

Durante l'estate Microsoft ha notato che alcuni attori di stato-nazione integrano i metodi delle operazioni informatiche con le operazioni di influenza (IO) dando origine a un nuovo sistema ibrido denominato "operazioni di influenza informatica". Tramite questa nuova tattica, gli attori mettono in luce, ingigantiscono o compensano i limiti relativi all'accesso alla rete o le capacità di cyberattacco. 3 I metodi informatici prevedono tattiche come il furto di dati, il defacing, gli attacchi DDoS e l'uso di ransomware, a cui vengono associati metodi di influenza come le fughe di dati, i sockpuppet, l'imitazione delle vittime, i social media e la comunicazione tramite SMS ed e-mail.
Matrice idonea per il Web di metodi informatici e di influenza

Compromissione dei dispositivi perimetrali della rete SOHO

Gli attori di minacce stanno creando reti occulte tramite i dispositivi perimetrali della rete SOHO (Small Office Home Office), avvalendosi di programmi in grado di rilevare endpoint vulnerabili in tutto il mondo. Questa tecnica complica il processo di attribuzione, dando l'impressione che gli attacchi provengano da tutte le direzioni.4

In questo video di 35 secondi, John Lambert di Microsoft illustra perché gli attori di minacce decidono di colpire i dispositivi perimetrali della rete SOHO. Guarda ora il video in basso:

Gli attori di minacce acquisiscono l'accesso iniziale tramite vari metodi

In Ucraina e in altri Paesi, gli analisti di Microsoft Threat Intelligence hanno notato che gli attori di minacce riescono a effettuare l'accesso iniziale all'obiettivo tramite diversi strumenti. Alcune delle tattiche e delle tecniche più comuni prevedono lo sfruttamento di applicazioni pubbliche, software pirata con backdoor e spear phishing. 5 reattivi, intensificando rapidamente le loro operazioni informatiche e di influenza dopo gli attacchi di Hamas contro Israele.

Imitazione delle vittime per maggiore credibilità

Tra le operazioni di influenza informatica si sta diffondendo una nuova tendenza che prevede l'imitazione di presunte organizzazioni colpite, o di figure di spicco all'interno di queste organizzazioni, per conferire credibilità agli effetti del cyberattacco o della compromissione. 6

Adozione rapida di modelli di verifica pubblici per l'accesso iniziale e un attacco persistente

Microsoft ha notato che sempre più sottogruppi di stato-nazione adottano i codici di modelli di verifica (PoC) pubblici poco tempo dopo che questi sono stati distribuiti, in modo da sfruttare le vulnerabilità delle applicazioni pubbliche. 7

 

L'immagine in basso raffigura due sequenze di attacco lanciate da un sottogruppo di stato-nazione e rilevate da Microsoft. In entrambe le sequenze, gli utenti malintenzionati usano Impacket per spostarsi lateralmente.

Illustrazione catena di attacco.

Gli attori di minacce tentano di inviare SMS in blocco per contattare un destinatario specifico

Microsoft ha notato che numerosi attori tentano di inviare SMS in blocco per aumentare la portata e gli effetti psicologici delle operazioni di influenza informatica. 8

L'immagine in basso raffigura due SMS affiancati inviata da attori di minacce che finge di essere una rete sportiva israeliana. Il messaggio a sinistra contiene un collegamento per la pagina Web compressa di Sport5. Quello a destra recita: "Se ami la tua vita, non recarti nei nostri Paesi".

Telegram Atlas Group: Screenshots di un SMS di una finta rete sportiva israeliana.

Le operazioni dei social media aumentano il coinvolgimento efficace del pubblico

Le operazioni di influenza occulte ora hanno iniziato a coinvolgere il pubblico target sui social media in misura maggiore rispetto a quanto osservato in precedenza, cosa che rappresenta livelli più alti di sofisticatezza e gestione delle risorse per le operazioni di influenza online.9

 

In basso, è raffigurata una grafica del Black Lives Matter inizialmente caricata da un account automatizzato di un gruppo di stato-nazione. Sette ore dopo è stata caricata di nuovo da un account che finge di essere un elettore conservatore o un'elettrice conservatrice degli Stati Uniti.

Dichiarazione a supporto del movimento Black Lives Matter, che condanna la discriminazione, la violenza da parte della polizia, in favore della dignità e della sicurezza

Specializzazione nell'economia dei ransomware

Nel 2023 gli operatori di ransomware hanno deciso di specializzarsi e concentrarsi su una gamma ridotta di funzionalità e servizi. Questo approccio favorisce la suddivisione dei componenti di un attacco ransomware, in modo da colpire più provider in un intricato sistema economico sommerso. Per far fronte a tutto ciò, Microsoft Threat Intelligence monitora i singoli provider, analizzando il traffico nell'accesso iniziale e altri servizi.10

 

In questo segmento video estratto da Ignite, Sherrod DeGrippo, Director of Threat Intelligence Strategy per Microsoft Threat Intelligence, analizza lo stato attuale dell'economia dei servizi di ransomware. Guarda ora il video in basso:

Uso costante di strumenti personalizzati

Alcuni gruppi evitano accuratamente di usare malware personalizzati per ragioni di segretezza (vedi la sezione "Mancato uso di strumenti e malware personalizzati" in alto). Altri, invece, hanno abbandonato gli strumenti disponibili pubblicamente e gli script semplici, prediligendo approcci su misura che richiedono tecniche commerciali più sofisticate.11

Infrastruttura di destinazione

Nonostante le organizzazioni infrastrutturali (impianti per il trattamento delle acque, strutture per le operazioni marittime, organizzazioni per il trasporto) non siano solitamente considerate un obiettivo primario per lo spionaggio informatico, a causa dello scarso valore dei dati di cui dispongono, rappresentano comunque un'opportunità di generare disordini. 12

 

John Lambert di Microsoft illustra brevemente il paradosso dello spionaggio informatico: un obiettivo che apparentemente non dispone di dati di valore. Guarda ora il video in basso:

Come illustrato nei dettagli delle 11 sezioni relative al 2023 appena descritte, il panorama delle minacce è in continua evoluzione e gli attacchi informatici stanno diventando sempre più sofisticati e frequenti. Gli oltre 300 attori di minacce che monitoriamo continueranno senza dubbio a tentare nuove strade, unendo strategie inedite a tecniche, tattiche e procedure già note. Ciò che ci affascina di questi attori di minacce è la possibilità di analizzarli e comprendere il loro modo di pensare, consentendoci di prevedere quale sarà la prossima mossa. Grazie all'IA generativa, ora possiamo farlo più rapidamente e saremo più preparati per respingere gli utenti malintenzionati in maniera tempestiva.

 

Dopo queste considerazioni, scopriamo cosa ci riserverà il 2024.

 

Per ricevere notizie e informazioni relative all'intelligence sulle minacce anche mentre sei in fila al supermercato, ascolta il  podcast di Microsoft Threat Intelligence a cura di Sherrod DeGrippo.

  1. [5]

    Un anno di guerra ibrida russa in Ucraina. Pagina 14.

  2. [6]

    L'Iran ricorre a operazioni informatiche di influenza per risultati migliori. Pagina 11.

  3. [8]

    L'Iran ricorre a operazioni informatiche di influenza per risultati migliori. Pagina 11.

  4. [9]

    Aumenta la portata e l'efficacia delle minacce digitali dell'Asia orientale. Pagina 6.

  5. [10]

    Un anno in Intel: momenti salienti della campagna globale di Microsoft contro le APT

  6. [11]

    L'Iran ricorre a operazioni informatiche di influenza per risultati migliori. Pagina 12.

  7. [12]

    Un anno in Intel: momenti salienti della campagna globale di Microsoft contro le APT

Articoli correlati

Gli attori di minacce russi sono in trincea, pronti a sfruttare la stanchezza del conflitto

Le operazioni informatiche e di influenza russe persistono durante la guerra in Ucraina. Microsoft Threat Intelligence descrive in modo dettagliato le minacce informatiche e le attività di influenza degli ultimi sei mesi.

Volt Typhoon attacca l'infrastruttura critica statunitense con tecniche Living Off the Land (LOLT)

Microsoft Threat Intelligence ha svelato maggiori operazioni informatiche di influenza in uscita dall'Iran. Ottieni informazioni dettagliate sulle minacce, scopri le nuove tecniche e dove esiste la possibilità di future minacce.

Ransomware as a Service: il nuovo volto del crimine informatico industrializzato

Microsoft Threat Intelligence esamina un anno di operazioni informatiche e di influenza in Ucraina, svela nuove tendenze nelle minacce informatiche e cosa aspettarsi mentre la guerra entra nel suo secondo anno.

Segui Microsoft Security