Comprensione cybercriminels

Conoscere i nemici per capire i loro comportamenti e proteggere meglio la vostra azienda.

cybercriminels sono individui o gruppi che conducono attività dannose per sfruttare le vulnerabilità e compromettere la sicurezza di sistemi, reti o dati. Comprendere la natura, le motivazioni e i metodi di cybercriminels è fondamentale per gli analisti SOC per difendersi efficacemente dalle minacce informatiche.

cybercriminels

Gruppi di ransomware APT Hacktivisti

Tecniche

Tecniche di attacco TTP MITRE

Strumenti utilizzati

Raccolta di informazioni Accesso remoto Trasferimento di file Furto di credenziali Comando e controllo Varie

Elenco di cybercriminels

Chi vi sta prendendo di mira?

Gruppi di ransomware

I gruppi di ransomware sono entità criminali informatiche organizzate e specializzate in attacchi ransomware. Sebbene questi gruppi impieghino in genere molte tattiche, tecniche e procedure sofisticate simili per compromettere i sistemi, criptare i dati ed estorcere alle vittime un guadagno economico, hanno anche i loro metodi e strategie specifici.

8base

ALPHV Blackcat

Akira

Bashe

BianLian

Nero Basta

Tuta nera

Brain Cipher

Cicala3301

Conti

Cacciatori

Lockbit

Medusa

PLAY

Pryx

Gruppo RA

RansomHub

Rysida

Minacce persistenti avanzate (APT)

Le minacce costanti avanzate (APT) sono entità criminali informatiche organizzate o gruppi sponsorizzati dallo Stato specializzati in attacchi informatici prolungati e occulti.

Sebbene questi gruppi impieghino in genere tattiche, tecniche e procedure sofisticate per infiltrarsi e mantenere l'accesso non autorizzato ai sistemi bersaglio, esfiltrare dati sensibili per periodi prolungati, essi possiedono anche metodi e strategie unici, adattati ai loro obiettivi e bersagli specifici.

APT29

Gruppo Lazarus

Salt Typhoon

Hacktivisti

I gruppi di hacktivisti sono entità organizzate che utilizzano tecniche di hacking per promuovere programmi politici o cause sociali. Sebbene questi gruppi impieghino spesso tattiche, tecniche e procedure sofisticate simili per compromettere i sistemi, deturpare i siti web e interrompere i servizi, essi hanno anche metodi e strategie specifici, adattati ai loro particolari obiettivi e messaggi.

I profili degli hacktivisti saranno disponibili a breve.

Tecniche di attacco

Tecniche utilizzate dai criminali informatici

Dirottamento dell'account

Forza bruta

Cryptomining

Negazione del servizio (DoS)

Kerberoasting

Interrogazione LDAP

Peer-to-peer

Scansione della porta

Escalation dei privilegi

Ransomware

Attacchi alle chiamate di procedura remota (RPC)

Attacchi al protocollo desktop remoto (RDP)

Scansione SMB

Iniezione SQL

Mirroring del traffico

Tunneling

TTP MITRE ATT&CK

I TTP più utilizzati dagli attori della minaccia

Gruppi di ransomware

Sebbene i gruppi di hacker impieghino in genere molte tattiche, tecniche e procedure sofisticate simili per compromettere i sistemi, crittografare i dati ed estorcere alle vittime guadagni finanziari, hanno anche i loro metodi e strategie specifici. Ecco le tecniche e le procedure più diffuse utilizzate dai criminali informatici:

TA0001: Initial Access

T1078: Valid Accounts

T1133: External Remote Services

T1190: Exploit Public-Facing Application

T1566: Phishing

TA0002: Execution

T1059: Command and Scripting Interpreter

TA0003: Persistence

T1136: Create Account

T1078: Valid Accounts

TA0004: Privilege Escalation

T1484: Domain Policy Modification

TA0005: Defense Evasion

T1070: Indicator Removal

T1112: Modify Registry

T1562: Impair Defenses

TA0006: Credential Access

T1003: OS Credential Dumping

T1552: Unsecured Credentials

TA0007: Discovery

T1018: Remote System Discovery

T1082: System Information Discovery

T1083: File and Directory Discovery

TA0008: Lateral Movement

T1021: Remote Services

TA0009: Collection

T1560: Archive Collected Data

TA0011: Command & Control

T1071: Application Layer Protocol

T1105: Ingress Tool Transfer

TA0010: Exfiltration

T1048: Exfiltration Over Alternative Protocol

T1567: Exfiltration Over Web Service

TA0040: Impact

T1486: Data Encrypted for Impact

T1490: Inhibit System Recovery

T1657: Network Denial of Service

Strumenti

Strumenti utilizzati da cybercriminels

Emulazione delle minacce

Cobalt Strike

Conduzione di operazioni di red team e simulazioni di avversari

Cloud sincronizzazione

MEGA Ltd MegaSync

Sincronizzazione dei file con l'archivio cloud

Estrazione delle credenziali

Mimikatz

Estrazione di password in chiaro e altri segreti di sicurezza da Windows

Tunneling del server locale

Ngrok

Esporre in modo sicuro i server locali a Internet

Automazione e scripting

PowerShell

Automatizzazione delle attività amministrative in Windows

Esecuzione di comandi remoti

PsExec

Esecuzione di comandi su sistemi remoti

Cloud gestione dell'archiviazione

Rclone

Gestione dei file sui servizi di archiviazione di cloud

Gestione della rete

SoftPerfect

Gestione e monitoraggio delle prestazioni della rete

Accesso al desktop remoto

Splashtop

Accesso a desktop e applicazioni in remoto

Client SFTP e FTP

WinSCP

Trasferimenti sicuri di file tra sistemi locali e remoti

Raccolta di informazioni su Active Directory

AdFind

Raccolta di dettagli sugli ambienti AD per analisi e valutazioni di sicurezza

Scansione di rete

Scanner IP avanzato

Individuazione di indirizzi IP e risorse di rete

Analisi di Active Directory

Segugio

Individuazione di potenziali percorsi di sfruttamento in ambienti AD

Test di rete

Microsoft Nltest

Test e risoluzione dei problemi di rete

Monitoraggio del sistema

PCHunter64

Monitoraggio e analisi delle attività del sistema

Monitoraggio del processo

Hacker di processo

Monitoraggio e gestione di processi e servizi

Applicazione desktop remoto

AnyDesk

Connessioni remote e assistenza sicure

Gestione remota

Fleetdeck.io

Monitoraggio e gestione di team distribuiti

Gestione del progetto

Level.io

Collaborazione e gestione di progetti online

Monitoraggio e gestione a distanza

Via degli impulsi

Gestione dell'infrastruttura IT da remoto

Supporto remoto

Screenconnect

Fornire assistenza e supporto a distanza

Accesso al desktop remoto

Splashtop

Accesso a desktop e applicazioni in remoto

Monitoraggio e gestione a distanza

Tattico.RMM

Gestione dell'infrastruttura IT da remoto

Controllo e assistenza a distanza

Teamviewer

Fornire accesso e supporto da remoto

Gestione dei trasferimenti BITS

BITSAdmin

Gestione delle attività del Servizio di trasferimento intelligente in background

Client FTP

FileZilla

Trasferimenti di file sicuri

Cloud sincronizzazione

MEGA Ltd MegaSync

Sincronizzazione dei file con l'archivio cloud

Cloud gestione dell'archiviazione

Rclone

Gestione dei file sui servizi di archiviazione di cloud

Compressione dei file

WinRAR

Comprimere e decomprimere i file

Client SFTP e FTP

WinSCP

Trasferimenti sicuri di file tra sistemi locali e remoti

Recupero della password

LaZagne

Estrazione delle password memorizzate dalle applicazioni

Estrazione delle credenziali

Mimikatz

Estrazione di password in chiaro e altri segreti di sicurezza da Windows

Scansione delle vulnerabilità web

Nekto / PriviCMD

Scansione delle applicazioni web alla ricerca di vulnerabilità

Audit dell'escalation dei privilegi

WinPEAS

Individuazione di possibili percorsi di escalation dei privilegi locali in Windows

Emulazione delle minacce

Cobalt Strike

Conduzione di operazioni di red team e simulazioni di avversari

Manipolazione del protocollo di rete

Impacchettamento

Lavorare con i protocolli di rete in Python

Tunneling del server locale

Ngrok

Esporre in modo sicuro i server locali a Internet

Automazione e scripting

PowerShell

Automatizzazione delle attività amministrative in Windows

Esecuzione di comandi remoti

PsExec

Esecuzione di comandi su sistemi remoti

Interfaccia a riga di comando per PuTTY

Collegamento PuTTY (Plink)

Automatizzare le sessioni SSH

Strumento proxy

Stowaway

Creare e gestire catene di proxy

Soluzione VPN

Scala della coda

Creare reti private sicure

Gestione dei pacchetti

Cioccolatoso

Gestione delle installazioni software su Windows

Rilevamento di rootkit

GMER

Identificazione e rimozione dei rootkit

Ottimizzazione del sistema

IOBit

Migliorare le prestazioni e la sicurezza del sistema

Rimozione dei rootkit

PowerTool

Rilevamento e rimozione dei rootkit

Creazione di un dump di processo

ProcDump

Generazione di crash dump per il debug

Ricognizione di Active Directory

Sharphound

Raccolta di dati da Active Directory per Bloodhound

Gestione della rete

SoftPerfect

Gestione e monitoraggio delle prestazioni della rete

Comprensione cybercriminels

Elenco di cybercriminels

Chi vi sta prendendo di mira?

Gruppi di ransomware

8base

ALPHV Blackcat

Akira

Bashe

BianLian

Nero Basta

Tuta nera

Brain Cipher

Cicala3301

Conti

Cacciatori

Lockbit

Medusa

PLAY

Pryx

Gruppo RA

RansomHub

Rysida

Minacce persistenti avanzate (APT)

APT29

Gruppo Lazarus

Salt Typhoon

Hacktivisti

Tecniche di attacco

Tecniche utilizzate dai criminali informatici

Dirottamento dell'account

Forza bruta

Cryptomining

Negazione del servizio (DoS)

Kerberoasting

Interrogazione LDAP

Peer-to-peer

Scansione della porta

Escalation dei privilegi

Ransomware

Attacchi alle chiamate di procedura remota (RPC)

Attacchi al protocollo desktop remoto (RDP)

Scansione SMB

Iniezione SQL

Mirroring del traffico

Tunneling

TTP MITRE ATT&CK

I TTP più utilizzati dagli attori della minaccia

Gruppi di ransomware

Strumenti

Strumenti utilizzati da cybercriminels

I più utilizzati

Raccolta di informazioni

Accesso remoto

Trasferimento di file

Furto di credenziali

Comando e controllo

Cobalt Strike

MEGA Ltd MegaSync

Mimikatz

Ngrok

PowerShell

PsExec

Rclone

SoftPerfect

Splashtop

WinSCP

AdFind

Scanner IP avanzato

Segugio

Microsoft Nltest

PCHunter64

Hacker di processo

AnyDesk

Fleetdeck.io

Level.io

Via degli impulsi

Screenconnect

Splashtop

Tattico.RMM

Teamviewer