APT in crescita: +74% di attacchi mirati e più complessi

Nel 2024 gli attacchi APT mirati sono aumentati del 74% rispetto al 2023 e hanno rappresentato il 43% di tutti gli incidenti ad elevata gravità. Il dato proviene dal report annuale di Kaspersky MDR ed è un chiaro sintomo dell’aumento della complessità degli attacchi, spinto anche dai passi avanti nell'automazione della sicurezza. Il report è frutto dell'analisi degli incidenti MDR identificati dal team SOC di Kaspersky e fornisce una panoramica di tattiche, tecniche e strumenti (TTP) più utilizzate dagli attaccanti, nonché delle caratteristiche degli incidenti, della loro distribuzione geografica e settoriale tra i clienti MDR.

Uno dei dati più allarmanti riguarda l'aumento del tempo medio necessario per investigare e segnalare gli incidenti ad alta gravità, che rispetto al 2023 è aumentato del 48% per via della crescente sofisticazione degli attacchi. L’analisi delle regole di detection e degli Indicatori di Attacco mette in luce un dato importante per la difesa: gli XDR sono ormai essenziali per il rilevamento e l'analisi delle minacce moderne.

Anche perché gli attaccanti spesso ritornano sul luogo del misfatto, soprattutto se l’incidente ha coinvolto organizzazioni governative, che interessano anche per le attività di cyber spionaggio. In questi scenari, la strategia più efficace di difesa si è dimostrata la combinazione di un SOC interno e XDR o di un servizio MDR esterno con valutazioni di compromissione regolari.

Posto che gli attacchi APT sono stati rilevati in tutti i settori, ad avere subìto le conseguenze più gravi sono stati i comparti IT e delle PA. Per numero di attacchi, invece, il manufacturing risulta il bersaglio principale (25,7%), seguito dal settore finanziario (14,1%) e governativo (11,7%). Il report riporta anche un piccolo dettaglio sull’Italia, che è classificata come uno dei paesi europei con la maggiore copertura MDR (il 31% dei clienti europei), il che fa intuire l’attenzione e l’importanza riconosciuta ai servizi di sicurezza avanzati.

Le tecniche di attacco più diffuse

Il report elenca anche le tecniche MITRE ATT&CK più frequenti. Le prime posizioni in classifica non riservano sorprese: phishing (con un aumento dei tassi di conversione grazie all’AI), la manipolazione degli account (attivazione di account disabilitati o aggiunta di membri a gruppi privilegiati), la user execution come parte della catena di attacco che insiste sull’utente in quanto anello debole della catena.

Segue poi una serie di tecniche meno note, fra cui spicca l’uso sempre più massivo di strumenti Living off the Land (LotL), ossia l’abuso di strumenti e processi legittimi già presenti sul sistema target. Sul fronte delle regole di rilevamento più frequentemente attivate, ai primi posti compaiono l'estrazione e la copia di parti del registro di sistema che contengono informazioni sensibili; la detection di processi di sistema eseguiti come servizio, i tentativi di accesso a host malevoli e il rilevamento di memory dump sospetti.