Nel terzo trimestre del 2023 il 35% dell’attività di Cisco Talos si è concentrato nell’indentificare e contrastare gli attacchi informatici alle applicazioni web, in aumento di oltre il 10% rispetto al trimestre precedente. Il ransomware, pur confermandosi come una delle principali minacce informatiche, ha invece rappresentato quasi il 30% degli interventi di sicurezza, con un calo del 10% rispetto a tre mesi fa. Istruzione, Finanziario e Sanità i settori più colpiti.
Negli attacchi alle applicazioni web e nelle successive attività di compromissione i criminali informatici, dopo aver ottenuto l’accesso iniziale sfruttando vulnerabilità note e l’assenza di patch, hanno impiegato diverse tecniche. Tra queste figurano sia le web shell, interfacce che permettono l’accesso remoto a un server web, e sia gli attacchi brute force, che mirano a individuare una password provando tutte le combinazioni possibili di lettere, caratteri speciali e numeri per penetrare nei sistemi informativi e accedere ai dati delle vittime.
Il 30% degli interventi di sicurezza tra ottobre e dicembre ha riguardato la gestione di attacchi ransomware e pre-ransomware, una categoria specifica di malware utilizzata dagli hacker per compromettere dispositivi e richiedere un riscatto in cambio del ripristino dell’accesso al legittimo proprietario. Si registra un leggero calo rispetto al trimestre precedente, quando questi interventi rappresentavano il 40%.
Nel 75% dei casi, i criminali hanno ottenuto l’accesso iniziale ai sistemi informativi sfruttando account validi compromessi. Inoltre, tutte le organizzazioni colpite da ransomware non avevano implementato correttamente l’autenticazione a più fattori o hanno subito l’aggiramento di questa misura di sicurezza durante l’attacco. Questo dato evidenzia il rischio crescente degli attacchi basati sull’identità e sottolinea la necessità di adottare metodi di autenticazione più sicuri.
Cisco Talos ha inoltre registrato un aumento nell’uso del ransomware BlackBasta per attacchi a doppia estorsione, una tecnica che prevede l’esfiltrazione di informazioni sensibili successivamente crittografate per spingere le vittime al pagamento del riscatto.
In cima alla lista dei settori più colpiti c’è l’Istruzione, con quasi il 30% degli attacchi, seguita da quello Finanziario, dalla Sanità sia pubblica che privata, nonché dal settore della Pubblica Amministrazione.
Nella maggior parte degli eventi a cui Talos IR ha risposto questo trimestre, i criminali informatici hanno ottenuto l’accesso iniziale sfruttando applicazioni destinate al pubblico. Si tratta di un cambiamento significativo rispetto ai trimestri precedenti, quando l’uso di account validi era una delle tecniche più comuni. Questo aumento è probabilmente legato al crescente numero di attacchi che hanno sfruttato applicazioni con patch obsolete o addirittura mancanti.
Dall’inizio di dicembre 2024, Cisco Talos ha registrato un’impennata degli attacchi di tipo password spraying, che hanno causato il blocco degli account utente e la negazione dell’accesso VPN. Questi attacchi si distinguono per l’alto volume di traffico generato. Ad esempio, un’organizzazione ha segnalato quasi 13 milioni di tentativi in 24 ore contro account noti, suggerendo che i criminali informatici stessero probabilmente conducendo attacchi automatizzati.
