Il 63% delle aziende non utilizza l'autenticazione multifattore; l'abuso del protocollo RDP continua a essere predominante negli attacchi cyber. Sono dati raccolti da 413 casi gestiti dai team di Incident Response e MDR di Sophos, alla base del report Sophos Active Adversary 2025 che analizza le dinamiche degli attacchi informatici e le risposte adottate nel corso del 2024.

Il report mette in evidenza dati molto interessanti sul panorama delle minacce informatiche, a partire dal tempo di permanenza degli attaccanti nelle reti compromesse, noto come dwell time. Grazie alle attività MDR, il dwell time mediano è sceso da 4 a 2 giorni nel 2024. Nei casi MDR, gli attacchi ransomware hanno registrato un dwell time di soli 3 giorni, mentre per altre tipologie di attacco il tempo si riduce a un solo giorno. Al contrario, nei casi IR il dwell time rimane stabile: 4 giorni per gli attacchi ransomware e 11,5 giorni per gli altri tipi di violazioni. Questa differenza evidenzia l'efficacia della rilevazione proattiva e del monitoraggio continuo offerti dai team MDR.

Esplicativo è poi il tempo necessario agli attaccanti per compromettere Active Directory, che è sceso a sole 11 ore. Il breve intervallo tra l'inizio dell'attacco e il primo tentativo riuscito di violazione dell'AD rappresenta una sfida significativa per le aziende, dato che garantisce agli attaccanti un accesso privilegiato che facilita il controllo dell'intera infrastruttura IT.

Ai fini della difesa è importante anche il tempismo degli attacchi: secondo il report l'84% del codice binario ransomware è stato rilasciato al di fuori dell'orario lavorativo delle vittime, sfruttando momenti in cui la sorveglianza potrebbe essere meno intensa. Questo approccio strategico degli attaccanti dimostra una crescente sofisticazione nel pianificare gli attacchi per massimizzare l'efficacia e minimizzare le possibilità di rilevamento immediato.

Il report riporta anche una classifica dei gruppi ransomware più attivi nel 2024: il primato va ad Akira, seguito da Fog e LockBit (nonostante il takedown di LockBit da parte delle forze dell'ordine all'inizio dell'anno).

Vettori e strumenti di attacco

In apertura abbiamo accennato all'abuso del Remote Desktop Protocol: secondo i dati di Sophos, è stato utilizzato nell'84% dei casi analizzati, il che lo rende lo strumento Microsoft più sfruttato dagli attaccanti per i movimenti laterali e l’accesso da remoto. Per arginare il problema sarebbe opportuno implementare la MFA per autenticare gli accessi RDP, cosa che non avviene nella maggior parte delle situazioni analizzate. Inoltre, gli esperti consigliano l’applicazione rigorosa del principio del minimo privilegio, così da circoscrivere le possibilità di abuso.

Il report evidenzia poi un aumento significativo nell'uso dei Living-off-the-land binaries (LOLBins), ossia dell’abuso di strumenti legittimi per evitare la detection. Nel 2024, il numero di LOLBins unici utilizzati è aumentato del 126% rispetto al 2023. Tra i LOLBins più abusati figurano cmd.exe e PowerShell, strumenti comuni che possono essere sfruttati sia per scopi legittimi che malevoli.

Un'altra area critica riguarda la disponibilità dei log nei sistemi compromessi, dovuto al fatto che gli attaccanti spesso cancellano i log per ostacolare la ricostruzione degli eventi. Nel 47% dei casi analizzati i log erano assenti o insufficienti, impedendo agli analisti di determinare con precisione le cause degli attacchi.

Sophos conclude il report con un caso studio che palesa le difficoltà incontrate dalle aziende nel bilanciare le esigenze operative con quelle di sicurezza: un cliente MDR ha subìto tre violazioni consecutive a causa del mancato patching di un firewall VPN obsoleto e della configurazione errata degli accessi VPN. Nonostante le raccomandazioni del team Sophos, le priorità aziendali hanno ritardato gli interventi necessari, consentendo agli attaccanti di sfruttare ripetutamente le stesse vulnerabilità.