Report trimestrale Cisco Talos:

Aumentano gli attacchi alle applicazioni web Istruzione, Finanziario e Sanità i settori più a rischio

Nel terzo trimestre del 2023 il 35% dell'attività di Cisco Talos, la più grande organizzazione privata al mondo dedicata all'intelligence per la cybersecurity, si è concentrato nell’indentificare e contrastare gli attacchi informatici alle applicazioni web, in aumento di oltre il 10% rispetto al trimestre precedente. Il ransomware, pur confermandosi come una delle principali minacce informatiche, ha invece rappresentato quasi il 30% degli interventi di sicurezza, con un calo del 10% rispetto a tre mesi fa. Istruzione, Finanziario e Sanità i settori più colpiti.

Gli attacchi alle applicazioni web

Negli attacchi alle applicazioni web e nelle successive attività di compromissione i criminali informatici, dopo aver ottenuto l'accesso iniziale sfruttando vulnerabilità note e l'assenza di patch, hanno impiegato diverse tecniche. Tra queste figurano sia le web shell, interfacce che permettono l'accesso remoto a un server web, e sia gli attacchi brute force, che mirano a individuare una password provando tutte le combinazioni possibili di lettere, caratteri speciali e numeri per penetrare nei sistemi informativi e accedere ai dati delle vittime.

Le principali tendenze del ransomware

Il 30% degli interventi di sicurezza tra ottobre e dicembre ha riguardato la gestione di attacchi ransomware e pre-ransomware, una categoria specifica di malware utilizzata dagli hacker per compromettere dispositivi e richiedere un riscatto in cambio del ripristino dell'accesso al legittimo proprietario. Si registra un leggero calo rispetto al trimestre precedente, quando questi interventi rappresentavano il 40%.

Nel 75% dei casi, i criminali hanno ottenuto l'accesso iniziale ai sistemi informativi sfruttando account validi compromessi. Inoltre, tutte le organizzazioni colpite da ransomware non avevano implementato correttamente l'autenticazione a più fattori (MFA) o hanno subito l'aggiramento di questa misura di sicurezza durante l'attacco. Questo dato evidenzia il rischio crescente degli attacchi basati sull'identità e sottolinea la necessità di adottare metodi di autenticazione più sicuri.

Cisco Talos ha inoltre registrato un aumento nell'uso del ransomware BlackBasta per attacchi a doppia estorsione, una tecnica che prevede l'esfiltrazione di informazioni sensibili successivamente crittografate per spingere le vittime al pagamento del riscatto.

I settori più colpiti

In cima alla lista dei settori più colpiti c'è l'Istruzione, con quasi il 30% degli attacchi, seguita da quello Finanziario, dalla Sanità sia pubblica che privata, nonché dal settore della Pubblica Amministrazione.

Accesso iniziale

Nella maggior parte degli eventi a cui Talos IR ha risposto questo trimestre, i criminali informatici hanno ottenuto l'accesso iniziale sfruttando applicazioni destinate al pubblico. Si tratta di un cambiamento significativo rispetto ai trimestri precedenti, quando l'uso di account validi era una delle tecniche più comuni. Questo aumento è probabilmente legato al crescente numero di attacchi che hanno sfruttato applicazioni con patch obsolete o addirittura mancanti.

Dall'inizio di dicembre 2024, Cisco Talos ha registrato un'impennata degli attacchi di tipo password spraying, che hanno causato il blocco degli account utente e la negazione dell'accesso VPN. Questi attacchi si distinguono per l'alto volume di traffico generato. Ad esempio, un'organizzazione ha segnalato quasi 13 milioni di tentativi in 24 ore contro account noti, suggerendo che i criminali informatici stessero probabilmente conducendo attacchi automatizzati.

Le raccomandazioni di Cisco Talos

Autenticazione a più fattori: è fondamentale assicurarsi che l'MFA venga applicata a tutti i servizi critici, inclusi quelli di accesso remoto e di gestione delle identità e degli accessi (IAM). Inoltre, per proteggersi dal social engineering, Cisco Talos raccomanda una formazione periodica sulla consapevolezza della sicurezza informatica.

Aggiornare regolarmente i software utilizzati: Cisco Talos consiglia alle aziende e agli utenti di verificare e adottare sempre gli aggiornamenti più recenti. I criminali informatici sono costantemente alla ricerca di patch mancanti: mantenere il software aggiornato è uno dei metodi più efficaci per prevenire compromissioni.

Le soluzioni EDR: è necessario assicurarsi che le soluzioni EDR (Endpoint Detection and Response) siano implementate e configurate correttamente. Le soluzioni EDR mal configurate o assenti sono state coinvolte in oltre il 25% degli incidenti registrati in questo trimestre. Se un'organizzazione non dispone delle risorse per adottare direttamente queste soluzioni, può considerare i fornitori di servizi Managed XDR, che offrono un monitoraggio attivo 24 ore su 24, 7 giorni su 7.

La security di Cisco per la NFL -  Il Super Bowl LIX si è concluso da poco. I riflettori sono stati puntati sui giocatori in campo  ma, dietro le quinte Cisco si è assicurata che ogni momento sia stato perfettamente connesso e sicuro. Dai campi di allenamento agli stadi affollati, Cisco e la NFL collaborano per mantenere i tifosi e le squadre collegati e protetti per tutta la stagione.

Nuovi metodi di attacco: l’allarme di Cisco Talos - Nella seconda metà del 2024 Cisco Talos ha rilevato un aumento delle minacce via e-mail attraverso il text salting, un testo cioè nascosto all’interno delle e-mail. Si tratta di una tecnica semplice ma efficace in grado di aggirare i controlli sulla posta elettronica, confondere i filtri antispam ed eludere i motori di rilevamento basati su parole chiave.

Il ransomware compie 35 anni: l’analisi di Cisco - Dai dischetti floppy a minaccia globale. In occasione del 35° anniversario del ransomware, gli esperti di Cisco analizzano le sue origini, i pericoli attuali e le strategie per contrastarlo Trentacinque anni di ransomware. Un anniversario al quale nessuno avrebbe mai voluto assistere, dal momento che il “software malevolo” più famoso al mondo rappresenta forse la peggiore delle minacce nel campo della sicurezza informatica.