MDR Approfondimenti
MITRE Engenuity ATT&CK® Valutazione per i servizi gestiti
MITRE, un’organizzazione riconosciuta a livello internazionale nota per il framework ATT&CK , ha rilasciato i suoi primi risultati di valutazione Engenuity ATT&CK® per servizi gestiti il 9 novembre 2022. La valutazione MITRE ha testato diversi noti fornitori MDR , tra cui Bitdefender. Le valutazioni servono come punto di partenza imparziale per capire come i provider di sicurezza gestiti identificano gli attacchi e cosa viene fornito dai partecipanti.
Il framework ATT&CK originale ha cambiato il modo in cui i team sviluppano modelli e metodologie di minaccia e il modo in cui noi analisti della sicurezza indaghiamo sugli attacchi informatici cercando indizi al di fuori degli indicatori grezzi. I moderni attori delle minacce si affidano a una varietà di tecniche di evasione, tra cui vivere sfruttando binari, script o librerie che sono già sul sistema di destinazione (o che possono essere scaricati senza destare sospetti). Spesso gli strumenti di sicurezza rilevano solo ciò per cui sono stati codificati, ma ATT&CK costringe i professionisti della sicurezza a guardare oltre questi semplici rilevamenti. Gli analisti applicano una profonda comprensione delle minacce quando scoprono attività dannose, filtrando il rumore e inviando avvisi attuabili al cliente. Questo è ciò che rende i servizi MDR preziosi nel clima informatico di oggi.
Durante l’esercizio di una settimana, i nostri team distribuiti a livello globale sono stati in grado di mostrare i muscoli della collaborazione e garantire che i processi messi in atto da Bitdefender siano efficaci per offrire i migliori risultati ai clienti. Come uno dei nostri principi guida, Bitdefender MDR ha operato il più vicino possibile alle nostre normali procedure. L’organizzazione di Bitdefender Labs ha lavorato con i nostri analisti SOC, indagando sui rilevamenti e sulle tecniche degli aggressori, mentre l’unità di cyber intelligence (Cyber Intelligence Fusion Cell) ha fornito ulteriore contesto dietro i comportamenti osservati e potenziali perni investigativi per assistere le cacce SOC. Bitdefender MDR ha capitalizzato le lezioni apprese e si sforza continuamente di identificare le opportunità per migliorare i nostri processi di gestione degli incidenti che alla fine rendono il nostro servizio ancora migliore per i nostri clienti.
Il team MDR di Bitdefender ha sfruttato il nostro stack di sicurezza nativo per rilevare il 100% delle fasi dell’attacco, fornendo al contempo un output riassuntivo e attuabile con una chiara sequenza temporale dell’attacco e le azioni consigliate. Il SOC ha utilizzato i meccanismi di segnalazione esistenti per fornire aggiornamenti giornalieri, nonché un rapporto post-incidente, proprio come facciamo negli incidenti del mondo reale.
Per valutare l’efficacia della nostra tecnologia di base per le capacità di prevenzione e rilevamento, è possibile esaminare i risultati del precedente ciclo di valutazioni MITRE ATT&CK o i risultati di un team indipendente di AV-Comparatives . I test indipendenti di terze parti con una metodologia ben definita offrono informazioni preziose sulle capacità delle principali società di sicurezza informatica in modo da poter prendere decisioni informate. La sicurezza informatica è un gioco al gatto e al topo, con entrambe le parti che innovano e migliorano continuamente strumenti e tecniche, e i fornitori di sicurezza devono dimostrare che le loro soluzioni sono efficaci, accurate e forniscono risultati coerenti.
Rapporto sui ransomware
Gli attacchi di spear phishing vengono spesso utilizzati come vettore di attacco iniziale e l’infezione da ransomware è spesso la fase finale della kill chain. Per questo rapporto, abbiamo analizzato i rilevamenti di malware raccolti nell’ottobre 2022 dai nostri motori antimalware statici. Nota: contiamo solo i casi totali, non quanto sia significativo dal punto di vista monetario l’impatto dell’infezione. Gli avversari opportunisti e alcuni gruppi Ransomware-as-a-Service (RaaS) rappresentano una percentuale più alta rispetto ai gruppi che sono più selettivi sui loro obiettivi, poiché preferiscono il volume rispetto al valore più elevato.
Quando guardi questi dati, ricorda che si tratta di rilevamenti di ransomware, non di infezioni.
Le 10 principali famiglie di ransomware
Abbiamo analizzato i rilevamenti di malware dal 1° al 30 ottobre. In totale, abbiamo identificato 189 famiglie di ransomware . Il numero di famiglie di ransomware rilevate può variare ogni mese, a seconda delle attuali campagne di ransomware nei diversi paesi.
I primi 10 paesi
In totale, questo mese abbiamo rilevato ransomware da 150 paesi nel nostro set di dati. Il ransomware continua ad essere una minaccia che tocca quasi tutto il mondo. Di seguito è riportato un elenco dei primi 10 paesi più colpiti dal ransomware. Molti attacchi ransomware continuano a essere opportunistici e la dimensione della popolazione è correlata al numero di rilevamenti.
Trojan Android
Di seguito sono riportati i 10 principali trojan destinati ad Android che abbiamo visto nella nostra telemetria nell’ottobre 2022.
Downloader.DN : applicazioni reimballate prese da Google App Store e raggruppate con adware aggressivo. Alcuni adware scaricano altre varianti di malware.
SMSSend.AYE – Malware che tenta di registrarsi come applicazione SMS predefinita alla prima esecuzione richiedendo il consenso dell’utente. In caso di successo, raccoglie i messaggi in entrata e in uscita dell’utente e li inoltra a un server Command & Control (C&C).
Banker.ACI, ACT, ACK – Applicazioni polimorfiche che impersonano app legittime (Google, Facebook, Sagawa Express…). Una volta installato, individua le applicazioni bancarie sul dispositivo e tenta di scaricare una versione trojanizzata dal server C&C.
HiddenApp.AID – Adware aggressivo che impersona le applicazioni AdBlock. Quando viene eseguito per la prima volta, chiede il permesso di essere visualizzato sopra altre app. Con questa autorizzazione, l’applicazione può nascondersi dal programma di avvio.
Triada.LC : malware che raccoglie informazioni sensibili su un dispositivo (ID dispositivo, ID abbonato, indirizzi MAC) e le invia a un server C&C dannoso. Il server C&C risponde inviando un collegamento a un payload che il malware scarica ed esegue.
Banker.XJ – Applicazioni che eliminano e installano moduli crittografati. Questo trojan concede privilegi di amministratore del dispositivo e ottiene l’accesso per gestire telefonate e messaggi di testo. Dopo la distribuzione, mantiene una connessione con il server C&C per ricevere comandi e caricare informazioni riservate.
Agent.AQQ – Un malware dropper è un trojan che nasconde il pericoloso payload all’interno di un’app come tecnica di evasione. Se può evitare le difese di sicurezza, questo payload viene distribuito. Il payload dannoso viene decrittografato e caricato dal contagocce.
SpyAgent.EM – Applicazioni che esfiltrano dati sensibili come messaggi SMS, registri delle chiamate, contatti o posizione GPS.
Rapporto di phishing omografo
Gli attacchi omografi funzionano per abusare dei nomi di dominio internazionali (IDN). Gli attori delle minacce creano nomi di dominio internazionali che falsificano un nome di dominio di destinazione. Quando parliamo di “bersaglio” degli attacchi di phishing omografo IDN, ci riferiamo al dominio che gli attori delle minacce stanno cercando di impersonare. Puoi leggere ulteriori informazioni su questo tipo di attacco in uno dei nostri rapporti precedenti.
Di seguito è riportato l’elenco dei 10 obiettivi più comuni per i siti di phishing.
