Sono le 3:37 di domenica a Los Angeles e una delle principali società di servizi finanziari della costa occidentale è alla seconda settimana di un processo. attacco degli abitanti della terra (LOTL).. Un team di attacco informatico a livello nazionale ha preso di mira gli algoritmi di determinazione dei prezzi, di negoziazione e di valutazione dell’azienda per i profitti delle criptovalute. Usando strumenti comuni, lo stato nazionale si è infiltrato nell’infrastruttura dell’azienda e la sta lentamente trasformando in un’arma per i propri interessi.
Di conseguenza CrowdStrike Rapporto sulle minacce globali 2025Quasi l’80% degli attacchi moderni, compresi quelli nel settore finanziario, sono ora privi di malware e si basano sull’utilizzo da parte degli aggressori di credenziali valide, strumenti di monitoraggio remoto e strumenti amministrativi con tempi di buffer (a volte inferiori a un minuto).
Nessuno nel SOC o nel gruppo dirigente della sicurezza informatica sospetta che ci sia qualcosa che non va. Ma ci sono segnali chiari che un attacco è in arrivo.
L’aumento del furto di credenziali, della compromissione della posta elettronica aziendale e degli exploit zero-day crea le condizioni ideali per la proliferazione degli attacchi LOTL. Bitdefender ultime ricerche È emerso che l’84% degli attacchi moderni utilizza tecniche LOTL, aggirando i sistemi di rilevamento tradizionali. Quasi 1 caso su 5Sempre più aiutati dall’automazione e da toolkit semplificati, gli aggressori hanno esfiltrato dati sensibili entro la prima ora dalla compromissione.
Le tattiche basate su LOTL ora costituiscono la maggior parte dei moderni attacchi informatici; le minacce persistenti avanzate (APT) spesso non vengono rilevate per settimane o mesi prima che gli hacker esfiltrino dati preziosi. Indice di intelligence sulle minacce X-Force 2025 di IBM.
Le implicazioni finanziarie sono sconcertanti. La ricerca sulle minacce condotta da CrowdStrike per il 2025 stima che il costo medio dei tempi di inattività legati al ransomware sia pari a 1,7 milioni di dollari per incidente; questa cifra può salire a 2,5 milioni di dollari nel settore pubblico. La posta in gioco è così alta per i leader del settore che i budget per la sicurezza ora competono con quelli dei principali centri di profitto.
I tuoi strumenti più affidabili sono l’arsenale di un utente malintenzionato
"Questi sono strumenti che non puoi disabilitare perché i tuoi amministratori li usano, le tue applicazioni li usano, tu (i tuoi dipendenti) li usi, ma aggressori (li usiamo anche noi)," Martin Zugec, direttore delle soluzioni tecniche bitdefenderÈ stato detto all’RSAC-2025 all’inizio di quest’anno. "Non puoi disabilitarli poiché ciò avrà un impatto sull’azienda."
Il rapporto 2025 di CrowdStrike conferma che gli aggressori sfruttano abitualmente utility come PowerShell, strumenti di amministrazione di Windows (WMI), PsExec, protocollo desktop remoto (RDP), Microsoft Quick Assist, Certutil, Bitsadmin, MSBuild e altro per mantenere una presenza all’interno dell’organizzazione ed evitare il rilevamento. Gli strumenti LOTL non lasciano alcuno scarico digitale, rendendo estremamente difficile rilevare un attacco in corso.
“Gli autori delle minacce sfruttano sempre più tecniche come Bring Your Ownvulnerable Driver (BYOVD) e LOTL per disabilitare gli agenti EDR (Endpoint Detection and Response) e nascondere attività dannose all’interno di operazioni di sistema legittime." Gartner nota: ultimo rapporto. "Sfruttano strumenti comuni del sistema operativo come PowerShell, MSHTA e Certutil, rendendoli difficili da rilevare e nascondersi nel rumore degli avvisi EDR."
Sondaggio sul ransomware di CrowdStrike Rivela che il 31% degli incidenti ransomware inizia con l’uso improprio di strumenti legittimi di monitoraggio e gestione remota, dimostrando che anche le utility IT aziendali vengono rapidamente utilizzate come armi dagli aggressori.
I fatti documentati nei rapporti di CrowdStrike supportano indagini più approfondite del settore: lo stack IT stesso è ora il vettore di attacco, e coloro che si affidano ai controlli tradizionali e al rilevamento basato sulle firme sono pericolosamente indietro rispetto alla curva.
Segnali comportamentali nascosti in bella vista
I concorrenti che si affidano alle tecniche LOTL sono famosi per la loro pazienza.
Gli attacchi che un tempo richiedevano malware ed exploit accattivanti hanno lasciato il posto a una nuova norma: gli avversari si stanno fondendo dietro le quinte utilizzando strumenti amministrativi e di gestione remota da cui dipendono i team di sicurezza.
Come Zugec di Bitdefender ha sottolineato: “Spesso scopriamo che il playbook utilizzato dagli aggressori funziona così bene che lo replicano su larga scala. Non irrompono, accedono. Non usano nuovo malware. Stanno semplicemente utilizzando strumenti già disponibili sulla rete.”
Zugec ha descritto la violazione LOTL in un libro di testo: Nessun malware, nessun nuovo strumento. BitLocker, PowerShell, script amministrativi comuni; Tutto sembrava routine finché i file non sono scomparsi e nessuno è riuscito a rintracciarli. È qui che oggi vincono gli autori delle minacce.
I nemici usano la normalità come mimetizzazione. Molti degli strumenti di cui gli amministratori si fidano e utilizzano maggiormente sono il motivo per cui gli attacchi LOTL si ridimensionano così rapidamente e silenziosamente. Zugec è brutalmente onesto: “Entrare nella rete non è mai stato così facile come adesso”. Ciò che una volta era una violazione dell’ambiente è ora diventata una violazione della familiarità; non può essere visto dagli strumenti legacy ed è indistinguibile dalla gestione di routine.
CrowdStrike Rapporto sulle minacce globali 2025 Riflette l’entità di questo fenomeno in numeri che dovrebbero attirare l’attenzione di ogni consiglio di amministrazione. “Nel 2024, il 79% dei rilevamenti osservati da CrowdStrike non coinvolgevano malware (un aumento significativo rispetto al 40% nel 2019), indicando che gli avversari utilizzano invece tecniche di tastiera applicate che si fondono con l’attività legittima dell’utente ed eludono il rilevamento. Questo spostamento verso tecniche di attacco prive di malware è stata una tendenza determinante negli ultimi cinque anni”, scrivono gli autori del rapporto."
I ricercatori del rapporto hanno inoltre scoperto che i tempi di interruzione degli attacchi riusciti continuano a diminuire; La media è di soli 48 minuti e la più veloce è di 51 secondi.
Il consiglio di Zugec ai difensori che lavorano in questo nuovo paradigma è chiaro e pragmatico. “Invece di perseguire qualcos’altro, scopri come possiamo prendere tutte queste capacità, tutte queste tecnologie di cui disponiamo e farle lavorare insieme e alimentarsi a vicenda”. Primo passo: “Comprendere la superficie di attacco. Imparare come funzionano gli aggressori e cosa fanno dovrebbe essere il primo passo, non cinque settimane fa, ma ora.”
Incoraggia i team a imparare come appare la normalità nel loro ambiente e a utilizzare quella linea di base per individuare ciò che è veramente inappropriato in modo che i difensori possano smettere di rincorrere infiniti avvisi e iniziare a rispondere solo quando conta.
Assumi la piena proprietà del tuo stack tecnologico adesso
Gli attacchi LOTL non solo sfruttano strumenti e infrastrutture affidabili, ma anche la cultura e la capacità dell’organizzazione di competere quotidianamente.
Mantenere la sicurezza significa fare della vigilanza costante un valore fondamentale, sostenuto dalla zero trust e dalla microsegmentazione come pilastri culturali. Questi sono solo i primi passi. Considera questo: Architettura Zero Trust del NIST (SP 800-207) Come spina dorsale organizzativa e guida pratica per combattere direttamente LOTL:
-
Ora limita i privilegi su tutti gli account ed elimina gli account di lunga data degli appaltatori che non vengono utilizzati da anni: Implementa l’accesso con privilegi minimi a tutti gli account amministratore e utente per impedire agli aggressori di aggravare l’incidente.
-
Applicare la microsegmentazione: Dividi la tua rete in zone sicure; Ciò aiuterà a contenere gli aggressori, limitare i movimenti e ridurre il raggio dell’esplosione se qualcosa va storto.
-
Accedi agli strumenti di rafforzamento e controlla chi li utilizza: Limita, monitora e registra PowerShell, WMI e altre utilità. Utilizza la firma del codice, modalità linguistiche limitate e limita l’accesso al personale fidato.
-
Adottare i principi Zero Trust del NIST: Rendi l’attendibilità adattiva l’impostazione predefinita verificando continuamente l’identità, l’igiene del dispositivo e il contesto di accesso come indicato in SP 800-207.
-
Centralizza l’analisi e la registrazione del comportamento: Utilizza il monitoraggio esteso per segnalare attività insolite con gli strumenti di sistema prima che un incidente si intensifichi.
-
Distribuisci il rilevamento adattivo se disponi di una piattaforma esistente in grado di scalare e fornire tutto ciò a un costo minimo: utilizza EDR/XDR per individuare modelli sospetti, soprattutto quando gli aggressori utilizzano strumenti legittimi per aggirare gli avvisi tradizionali.
-
La squadra rossa regolarmente: Testa attivamente le difese con attacchi simulati e scopri come gli aggressori abusano di strumenti affidabili per penetrare la sicurezza di routine.
-
Aumenta la consapevolezza della sicurezza e rafforza la memoria muscolare: Istruisci utenti e amministratori sui metodi LOTL, sull’ingegneria sociale e su quali sottili segnali tradiscono un compromesso.
-
Aggiornamento e inventario: Mantieni gli inventari delle applicazioni, risolvi le vulnerabilità note ed esegui frequenti controlli di sicurezza.
Insomma: La società di servizi finanziari menzionata all’inizio di questa storia alla fine è sopravvissuta all’attacco LOTL. Oggi, il loro modello, il processo CI/CD per lo sviluppo dell’intelligenza artificiale e il processo complessivo di ricerca e sviluppo sull’intelligenza artificiale sono gestiti da un team di responsabili della sicurezza informatica con decenni di esperienza nel blocco delle strutture e dei depositi del Dipartimento della Difesa degli Stati Uniti.
Gli attacchi LOTL sono reali, in crescita, letali e richiedono una nuova mentalità da parte di tutti coloro che si occupano di sicurezza informatica.
