FireEye ha recentemente presentato il Mandiant M-Trends 2020, il rapporto che mostra statistiche ed approfondimenti riguardo gli attacchi informatici più interessanti e d’impatto del 2019.
FireEye M-Trends: le organizzazioni stanno contenendo gli attacchi
L’M-Trends di FireEye mostra che il dwell time (ovvero il tempo che intercorre tra l’inizio di un’intrusione informatica e la sua identificazione) è passato da 177 giorni a 54, segnando così una diminuzione del 70%.
I consulenti di FireEye credono che l’elevato dwell time rilevato precedentemente sia dovuto a compromissioni di lunga durata diffuse dalle organizzazioni solo in seguito all’entrata in vigore del GDPR.
Inoltre è stata registrata una netta diminuzione del dwell time medio globale, ora di 56 giorni. I consulenti ritengono che questo risultato sia stato ottenuto grazie alle organizzazioni che hanno migliorato i loro programmi di rilevamento.
Uno dei motivi è la continua crescita degli attacchi disruptive (ransomware e miners di crypto valute) che spesso hanno tempi di permanenza più brevi all’interno della rete aziendale e sono più semplici da identificare. Sembra quindi che i tempi necessari per rilevare violazioni, interne o esterne, siano diminuiti a livello globale.
- Il dwell time medio per le organizzazioni che sono venute a conoscenza della violazione da un soggetto esterno: 141 giorni contro i 184 del precedente M-Trends report (- 23%)
- Il dwell time medio per le organizzazioni che hanno effettuato un auto rilevamento: 30 giorni rispetto ai 50.5 dell’M-Trends Report 2019 (- 40%).
- Il dwell time interno ha visto un grande livello di miglioramento, tuttavia ancora il 12% delle investigazioni continua ad avere un dwell time superiore ai 700 giorni.
Il rilevamento ha raggiunto il livello più basso da quattro anni
Oltre ad essere diminuito il dwell time per le intrusioni identificate internamente, si è ridotta anche la percentuale complessiva di violazioni di sicurezza rilevate autonomamente rispetto a quelle da parte di fonti esterne.
Questo avviene a seguito di un costante aumento delle rilevazioni interne, trend iniziato nel 2011. Per la prima volta le notifiche di compromissione da parte di una realtà esterna, superano quelle interne.
Questo cambiamento è stato causato da differenti fattori come l’aumento delle notifiche da parte delle forze dell’ordine, i cambiamenti nelle norme di informazione al pubblico e anche i cambiamenti in termini di compliance.
FireEye M-Trends: identificate nuove famiglie di malware
L’M-Trends di FireEye del 2020 mostra che, tra tutte le famiglie di malware osservate, il 41% di esse sono completamente nuove. Inoltre il 70% dei campioni individuati apparteneva ad una delle cinque famiglie maggiormente rilevate, basate su strumenti e codici open source.
Questi fattori mettono in luce che i cyber criminali stanno esternalizzando gli incarichi per monetizzare più rapidamente le loro operazioni.
Tra tutti gli attacchi a cui i professionisti di FireEye hanno risposto, il 29% è stata motivata dal desiderio dell’aggressore di un guadagno diretto. Ciò include le seguenti attività cyber: estorsione, riscatto, furto di carte di credito e trasferimenti illeciti di denaro.
Il secondo più comune (22%) è stato il furto di dati con l’obiettivo di entrare in possesso delle proprietà intellettuali o effettuare attività di cyber spionaggio.
Il successo della monetizzazione degli attacchi ransomware ha contribuito ad aumentarne l’utilizzo. Secondo FireEye questo strumento di attacco continuerà a essere utilizzato come mezzo secondario per monetizzare l’accesso agli ambienti delle vittime.