Report Trimestrale Cisco Talos: Le minacce informatiche nel 2023

Condividi su:

 

Web-shell in aumento, ransomware in diminuzione

Nel primo trimestre del 2023, il 30% delle minacce informatiche sono state di tipo web-shell, sfruttando vulnerabilità di server e applicazioni. Gli attacchi ransomware, invece, sono scesi dal 20% al 10%. Questi sono i principali risultati del Report Trimestrale di Cisco Talos, leader mondiale nella cybersecurity.

I gruppi hacker e l’uso di metodi combinati

Il report evidenzia che molti di questi attacchi sono attribuibili a gruppi hacker noti, come Vice Society. Inoltre, i criminali informatici dimostrano abilità nell’utilizzare diverse tecniche di accesso e strumenti adattabili per diffondere malware o ottenere informazioni sensibili.

Settori più colpiti

La sanità pubblica e privata è stata il settore più colpito, seguita dalla vendita al dettaglio, il commercio, l’immobiliare e l’ospitalità.

Le attività delle web shell stanno superando il ransomware. Secondo Cisco Talos Incident Response (Talos IR), nel primo trimestre del 2023 questa tecnica è stata utilizzata nel 22% di tutti gli interventi. Le web shell hanno superato il ransomware come minaccia più comune riscontrata in Talos IR, anche se ci sono stati diversi casi di ransomware a cui Talos IR ha risposto nel primo trimestre e che devono ancora essere conclusi, indicando la possibilità che gli attacchi di ransomware potrebbero continuare nel secondo trimestre. Ogni web shell ha le sue funzioni di base, ma spesso gli attori delle minacce le concatenano per creare un set di strumenti flessibili per diffondere l’accesso in tutta la rete.

Le principali minacce:

  • Dall’inizio del 2023, Talos IR ha osservato un aumento significativo dell’uso delle web shell rispetto ai trimestri precedenti, rappresentando quasi un quarto delle minacce affrontate nel primo trimestre del 2023.
  • Il ransomware ha costituito meno del 10% degli interventi, una diminuzione significativa rispetto al trimestre precedente (20% di interventi di ransomware).
  • Tuttavia, combinando gli incidenti di ransomware e pre-ransomware, sono stati osservati nel complesso quasi il 22% delle minacce, alla stessa frequenza delle web shell in questo trimestre.
  • Nel corso del trimestre, si è riscontrato l’utilizzo di Qakbot, un loader di malware, che ha sfruttato file ZIP con documenti malevoli di OneNote.
  • Gli avversari si affidano sempre più a OneNote per diffondere il loro malware dopo che Microsoft ha disabilitato le macro per impostazione predefinita nei documenti di Office a luglio 2022.
  • L’exploit di applicazioni di pubblica utilità è stato il principale vettore di accesso iniziale nel trimestre, contribuendo al 45% degli interventi, un aumento significativo rispetto al 15% del trimestre precedente.

Altre considerazioni:

  • Il 30% degli interventi non aveva abilitato l’autenticazione a più fattori (MFA) o l’aveva abilitata solo su alcuni account e servizi critici.
  • Gli sforzi recenti delle forze dell’ordine per contrastare i principali gruppi di ransomware, tra cui Hive ransomware, hanno avuto successo negli ultimi mesi, anche se Talos IR sospetta che ciò crei spazio per l’emergere di nuove famiglie di ransomware o la formazione di nuove alleanze.
  • I settori più frequentemente colpiti nel trimestre sono stati quelli della sanità e della salute pubblica, seguiti da vendita al dettaglio, commercio, settore immobiliare e servizi di ristorazione/ospitalità.
  • Questo trimestre è emerso anche il ransomware Daixin, una nuova famiglia di ransomware-as-a-service (RaaS) che non era stata osservata in precedenti interventi di Talos IR.

Minacce informatiche: come proteggersi nel miglior modo possibile?

La mancanza di MFA rimane uno dei maggiori ostacoli per la sicurezza aziendale. Tutte le organizzazioni dovrebbero implementare una forma di MFA, come Cisco Duo. Le soluzioni di rilevamento e risposta agli endpoint, come Cisco Secure Endpoint, possono individuare attività maligne nelle reti e sui dispositivi delle organizzazioni. Gli attaccanti cercano spesso di aggirare l’MFA sulle soluzioni EDR per disabilitare i meccanismi di allarme. Le firme Snort e ClamAV possono bloccare molti strumenti noti di pre-ransomware utilizzati dagli attaccanti in questo trimestre, come Qakbot e Solarmarker.

Principali vulnerabilità

Il 45% degli attacchi ha sfruttato le applicazioni utilizzate dagli utenti, un aumento significativo rispetto al trimestre precedente. Inoltre, la compromissione degli account con password deboli e l’assenza dell’autenticazione a più fattori (MFA) sono stati punti deboli rilevanti.

Fonte: Report Trimestrale di Cisco Talos

 

 

Se questo articolo ti è piaciuto e vuoi rimanere informato iscriviti al nostro Canale Telegram o
seguici su Google News
.
Inoltre per supportarci puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, se vuoi
segnalare un refuso Contattaci qui .


Autore dell'articolo: Cesare Di Simone

Passione sfrenata per tutto ciò che è tecnologico utente di lungo corso Android e sostenitore di tutto ciò che è open-source e collateralmente amante del mondo Linux. Amante della formula uno e appassionato dell'occulto. Sono appassionato di oroscopo mi piace andare a vedere cosa dicono le stelle quotidianamente.