CrowdStrike: arriva il report OverWatch, vediamoci chiaro con Luca Nilo Livrieri

Tra cyberwar e attacchi ransomware, gli ultimi dodici mesi sono stati segnati da trend in aumento quasi su tutti i cluster. Cerchiamo di leggere i dati analizzati da CrowdStrike anche con l’aiuto di Luca Nilo Livrieri. E le ultime tendenze dei gruppi criminali e loro provenienza

In occasione dell’uscita del nuovo report 2022 Falcon OverWatch Threat Hunting di CrowdStrike, ho avuto il piacere di poter fare alcune domande per un’intervista, direttamente a Luca Nilo Livrieri, Senior Manager, Sales Engineering for Southern Europe della nota multinazionale di sicurezza informatica.

Questo articolo vuole evidenziare alcune tematiche che emergono dal report, con le risposte fornite da Livrieri e riportare alcuni dati interessanti analizzati da CrowdStrike negli ultimi dodici mesi.

L’intervista con Luca Nilo Livrieri

È cambiata l’esposizione sul settore sanità e scuola rispetto ai 12 mesi ancora precedenti al report, già colpiti da incremento di attacchi in relazione al clima pandemico?

I settori healthcare e education sono tra i più colpiti negli ultimi 12 mesi. Si nota un cambio nell’aumento di attacchi guidati da gruppi e-crime e non solo nation-state, lasciando intravedere così il fatto che anche da questi settori arriva un buon ritorno economico. I settori sono caratterizzati da superficie d’attacco molto ampia e infrastrutture con gruppo di utenze e persone coinvolte molto vasto. I dati dicono che gli attacchi, intesi come tentativi bloccati dall’infrastruttura CrowdStrike (sui propri clienti), sono raddoppiati anno su anno.

La crisi Ucraina/Russia sta contribuendo alle attività di autori stati-nazione?

Sulla minaccia ibrida si registra una convergenza tra gruppi e-crime e gruppi nation-state che lavorano insieme. Cioè i governi o i sistemi filo-governativi si avvalgono del know-how dei gruppi e-crime per sferrare i loro attacchi. Questo succede per il tema del patriottismo più o meno forzato (vds vicende gruppo Conti), per il tema finanziario/economico e per la sicurezza personale (insieme delle implicazioni che necessariamente gravano su tali persone). Il punto fondamentale evidenziato da questo report e che i gruppi criminali possono in alcuni casi, convertirsi in armi per i governi. Questo è pericoloso per l’imprevedibilità che possono assumere le conseguenze di attacchi critici di questo genere. L’effetto domino, tra settori strategici, può essere una delle conseguenze più gravi di questi attacchi.

In che misura può incidere, secondo lei, il ransomare nello scenario di attacchi analizzati dal report?

Ransomware o meglio RaaS (ransomware as a service), vedono una crescita negli ultimi dati. Gruppi criminali che lavorano sempre di più come aziende, con un ritorno dall’investimento criminale importante che nell’ultimo anno fa salire la tendenza ransomware del 36%. Chiaramente il tema della doppia estersione è importante per questo risultato, a seguito della quale si chiede il riscatto anche solo per non pubblicare quanto rubato durante l’attacco.

Ci sono consigli utili da poter evidenziare alla luce dei dati emersi dal report?

Anche in relazione agli attacchi ransomware il report è studiato per fornire consigli operativi precisi. In generale si può evidenziare l’importanza di effettuare un audit degli agenti esterni che le aziende usano, al fine di rendere visibile tutta la potenziale superficie d’attacco. Analizzare per esempio eventuali servizi cloud di terze parti. Revisione della creazione di nuovi account, sia quella degli account attuali (ad esempio con privilegi amministrativi) e il monitoraggio del meccanismo di creazione, anche nel breve periodo. Audit costante su tool di accesso remoto. Tenere sotto controllo i sistemi di backup e la loro eventuale manomissione: una tendenza che emerge è proprio quella relativa ad attacchi mirati ai sistemi di backup. Ovviamente questo è ciò che emerge dall’analisi del report di OverWatch che sostanzialmente prende le telemetrie rilevate ed evidenzia ciò che è stato sventato.

Il report e i gruppi criminali, uno spaccato per la situazione dei gruppi hacker russi

Una sezione del report che ho trovato particolarmente interessante riguarda le verticali colpite e da chi (gruppi/nazione interessata nel crimine).

Il grafico mostra il grado di interesse di un gruppo criminale (nazione) nei confronti di un determinato settore: più il colore tende al rosso e più il grado di interesse dimostrato dagli attacchi, è massimo.

Una riflessione doverosa, da fare con le dovute cautele, riguarda la Russia (prima colonna), che sembra dimostrare un lieve interesse nel settore Technology, mentre invece altri gruppi (come China e Iran) dimostrano un più deciso grado di attacco nei confronti di altri settori molto più strategici come telecomunicazioni, difesa e governativo. Questo può sicuramente aiutarci ad interpretare molte attività legate a quella che nell’ultimo periodo chiamiamo molto di frequente come cyberwar (riferendoci allo scontro Russia/Ucraina), dei gruppi russi verso l’occidente.

Ricordo inoltre che questo report è basato sui dati di CrowdStrike, raccolti a livello globale dalle attività dei propri clienti e riferiti al periodo 01 luglio 2021 – 20 giugno 2022.