Rispetto ai primi tre mesi del 2023 nel secondo trimestre dell’anno gli attacchi informatici sono aumentati in maniera considerevole, e il settore della Sanità pubblica e privata è quello più colpito, seguito dal settore dei servizi finanziari e da quello delle utility.
Sul primo gradino del podio per tipo di minaccia le estorsioni, un tipo di attacco particolarmente pericoloso, che rispetto al primo trimestre 2023 è in crescita del 25%. I criminali informatici rubano infatti i dati della vittima con la minaccia di diffonderli, a meno che non accetti di pagare una cospicua somma di denaro. Al secondo posto, dopo le estorsioni, con una crescita del +17% (contro il 10% del periodo gennaio-marzo) il report segnala gli attacchi ransomware, divisi in diverse famiglie, tra cui 8base e MoneyMessage. È quanto emerge dai dati pubblicati dal report trimestrale Talos Incident Response (Talos IR) di Cisco Talos Intelligence Group, la divisione di threat intelligence di Cisco.
I punti deboli della sicurezza
Per oltre il 50% degli attacchi di questo trimestre è stata osservata PowerShell, una utility dinamica della riga di comando che continua a essere una scelta molto frequente per i criminali informatici.
Questo, per una serie di motivi, tra cui l’invisibilità, la praticità e le ampie funzionalità di gestione IT.
La mancanza o un’implementazione impropria dell’autenticazione a più fattori (MFA) nei servizi critici è stata responsabile di oltre il 40% degli eventi a cui Cisco Talos ha risposto nel periodo preso in esame.
Aggirare l’autenticazione a più fattori con attacchi di “esaurimento”
Nella maggior parte degli eventi a cui Talos IR ha risposto in questo trimestre i criminali informatici hanno ottenuto l’accesso iniziale utilizzando credenziali compromesse (quasi il 40% dei casi, in aumento del 22% rispetto al primo trimestre 2023) per accedere in maniera fraudolenta ad account validi, il 90% dei quali non disponeva di MFA In altri casi, è stato aggirato l’MFA con attacchi di esaurimento, che si verificano quando l’aggressore tenta di autenticarsi ripetutamente a un account utente con credenziali valide per sommergere le vittime di notifiche push MFA sperando che alla fine accettino, per poi autenticarsi con successo, riporta Adnkronos.
I vettori d’attacco non identificati
Dopo il gruppo dei vettori d’attacco non identificati (‘sconosciuti’), la terza modalità di accesso iniziale più frequente è lo sfruttamento di applicazioni accessibili pubblicamente.
Al quarto e quinto posto spear phishing e phishing, rispettivamente quello che utilizza allegati malevoli e quello che incorpora link a pagine Web per la raccolta dei dati, si legge su IctBusiness.