Rilevamento e risposta alle minacce di rete basati sull'intelligenza artificiale: approfondimenti da un leader del Magic Quadrant™ 2026 di Gartner®
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per la gestione delle minacce alla rete (NDR) del 2026
Leggi il rapporto
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra

Comprendere gli autori delle minacce

Conoscere i propri nemici per comprenderne i comportamenti e proteggere meglio la propria azienda.

Gli autori delle minacce sono individui o gruppi che svolgono attività dannose per sfruttare le vulnerabilità e compromettere la sicurezza di sistemi, reti o dati. Comprendere la natura, le motivazioni e i metodi degli autori delle minacce è fondamentale affinché gli analisti dei team di sicurezza possano difendersi efficacemente dalle minacce informatiche.

Attori malintenzionati
Gruppi di ransomwareAPTHacktivisti
Tecniche
Tecniche di attaccoTTP MITRE
Strumenti utilizzati
Raccolta di informazioniAccesso remotoTrasferimento di fileFurto di credenzialiComando e controlloVarie

Elenco degli autori delle minacce

Chi ti sta prendendo di mira?

Gruppi di ransomware
APT
Hacktivisti

Gruppi di ransomware

I gruppi di ransomware sono entità criminali informatiche organizzate specializzate in attacchi ransomware. Sebbene questi gruppi ricorrano in genere a tattiche, tecniche e procedure sofisticate simili per compromettere i sistemi, crittografare i dati ed estorcere denaro alle vittime a scopo di lucro, essi dispongono anche di metodi e strategie specifici.

8BASE

Akira

ALPHV Blackcat

Arkana Security

Bashe

BianLian

Black Basta

Blacksuit

Braincipher

Cicada3301

Cl0p

Conti

FunkSec

Ghost

GRUPPO GLOBALE

Hunters

INC Ransom

LAPSUS$

Lockbit

Medusa

PLAY

Pryx

Qilin

Gruppo RA

RansomHub

Rhysida

Scattered Spider

ShinyHunters

Sinobi

Minacce persistenti avanzate (APT)

Le minacce persistenti avanzate (APT) sono entità criminali informatiche organizzate o gruppi sponsorizzati da Stati che si specializzano in attacchi informatici prolungati e occulti.

Sebbene questi gruppi ricorrano comunemente a tattiche, tecniche e procedure sofisticate per infiltrarsi nei sistemi di destinazione e mantenere un accesso non autorizzato, sottraendo dati sensibili per lunghi periodi, dispongono anche di metodi e strategie unici, studiati su misura per i loro obiettivi e bersagli specifici.

Agrius

APT1

APT29

APT33

APT34

APT35

APT42

Flax Typhoon

Gruppo Lazarus

MuddyWater

Salt Typhoon

UNC3886

UNC5221

Volt Typhoon

Hacktivisti

I gruppi di hacktivisti sono entità organizzate che utilizzano tecniche di hacking per promuovere programmi politici o cause sociali. Sebbene questi gruppi ricorrano spesso a tattiche, tecniche e procedure sofisticate simili per compromettere i sistemi, manomettere i siti web e interrompere i servizi, dispongono anche di metodi e strategie specifici, adattati ai loro particolari obiettivi e messaggi.

I profili degli hacktivisti saranno disponibili a breve.

Tecniche di attacco

Tecniche utilizzate dai criminali informatici

Dirottamento dell'account

Forza bruta

Falsificazione delle e-mail aziendali (BEC)

Sfruttamento Cloud

Dirottamento dei cookie

Mining di criptovalute

Attacco Denial of Service (DoS)

Sfruttamento Endpoint

Kerberoasting

Query LDAP

Attacco di tipo "password spraying"

Peer-to-peer

Phishing

Scansione delle porte

Escalation dei privilegi

Ransomware

Attacchi tramite il protocollo RDP (Remote Desktop Protocol)

Attacchi tramite Remote Procedure Call (RPC)

Abusi nella condivisione di file SaaS

Scansione SMB

Iniezione SQL

Attacco di sfruttamento dei token

Riflessione del traffico

Tunneling

TTP di MITRE ATT&CK

Le TTP più utilizzate dagli autori delle minacce

Gruppi di ransomware

Sebbene i gruppi di hacker ricorrano solitamente a tattiche, tecniche e procedure sofisticate simili per compromettere i sistemi, crittografare i dati ed estorcere denaro alle vittime a scopo di lucro, essi dispongono anche di metodi e strategie specifici. Ecco le tecniche e le procedure più diffuse utilizzate dai criminali informatici:

TA0001: Initial Access
T1078: Valid Accounts
T1133: External Remote Services
T1190: Exploit Public-Facing Application
T1566: Phishing
TA0002: Execution
T1059: Command and Scripting Interpreter
TA0003: Persistence
T1136: Create Account
T1078: Valid Accounts
TA0004: Privilege Escalation
T1484: Domain Policy Modification
TA0005: Defense Evasion
T1070: Indicator Removal
T1112: Modify Registry
T1562: Impair Defenses
TA0006: Credential Access
T1003: OS Credential Dumping
T1552: Unsecured Credentials
TA0007: Discovery
T1018: Remote System Discovery
T1082: System Information Discovery
T1083: File and Directory Discovery
TA0008: Lateral Movement
T1021: Remote Services
TA0009: Collection
T1560: Archive Collected Data
TA0011: Command & Control
T1071: Application Layer Protocol
T1105: Ingress Tool Transfer
TA0010: Exfiltration
T1048: Exfiltration Over Alternative Protocol
T1567: Exfiltration Over Web Service
TA0040: Impact
T1486: Data Encrypted for Impact
T1490: Inhibit System Recovery
T1657: Network Denial of Service

Strumenti

Strumenti utilizzati dagli autori delle minacce

I più utilizzati

Raccolta di informazioni

Accesso remoto

Trasferimento file

Furto di credenziali

Comando e controllo

Varie
Emulazione delle minacce

Cobalt Strike

Conduzione di operazioni "red team" e simulazioni di attacchi
Estrazione delle credenziali

Mimikatz

Estrazione di password in chiaro e altre informazioni riservate relative alla sicurezza da Windows
Tunneling su server locale

Ngrok

Esporre i server locali a Internet in modo sicuro
Automazione e scripting

PowerShell

Automatizzazione delle attività amministrative su Windows
Esecuzione di comandi da remoto

PsExec

Esecuzione di comandi su sistemi remoti
Gestione Cloud

Rclone

Gestione dei file sui servizi cloud
Client SFTP e FTP

WinSCP

Trasferimenti sicuri di file tra sistemi locali e remoti
Raccolta di informazioni su Active Directory

AdFind

Raccolta di informazioni dettagliate sugli ambienti AD ai fini dell'analisi e delle valutazioni di sicurezza
Monitoraggio del sistema

PCHunter

Monitoraggio e analisi delle attività del sistema
Esecuzione di comandi da remoto

PsExec

Esecuzione di comandi su sistemi remoti

RDP

WMI

Gestione Cloud

Rclone

Gestione dei file sui servizi cloud
Compressione dei file

WinRAR

Compressione e decompressione dei file
Client SFTP e FTP

WinSCP

Trasferimenti sicuri di file tra sistemi locali e remoti
Recupero della password

LaZagne

Estrazione delle password salvate nelle applicazioni

LogMeIn

Estrazione delle credenziali

Mimikatz

Estrazione di password in chiaro e altre informazioni riservate relative alla sicurezza da Windows

PasswordFox

Visualizza password del browser web

Controllo dell'escalation dei privilegi

WinPEAS

Individuazione di possibili percorsi di escalation dei privilegi a livello locale su Windows
Emulazione delle minacce

Cobalt Strike

Conduzione di operazioni "red team" e simulazioni di attacchi
Manipolazione dei protocolli di rete

Impacket

Lavorare con i protocolli di rete in Python
Tunneling su server locale

Ngrok

Esporre i server locali a Internet in modo sicuro
Automazione e scripting

PowerShell

Automatizzazione delle attività amministrative su Windows
Interfaccia a riga di comando per PuTTY

PuTTY Link (Plink)

Automatizzazione delle sessioni SSH

Smokeloader

Rilevamento dei rootkit

GMER

Individuazione e rimozione dei rootkit
Ottimizzazione del sistema

IOBit

Miglioramento delle prestazioni e della sicurezza del sistema
Rimozione dei rootkit

Utensile elettrico

Rilevamento e rimozione dei rootkit

Qual è il tuo divario di esposizione agli attacchi?

Questa analisi delle lacune mira ad aiutare le organizzazioni a comprendere la loro esposizione alle minacce, anche in presenza di endpoint , e a individuare le misure da adottare per affrontare tali rischi.

Scarica il rapporto di ricerca
Fai il test