Il nuovo report trimestrale di Cisco Talos, la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity, ha diffuso i risultati che si riferiscono agli ultimi 3 mesi del 2023. Dal rapporto emerge anzitutto che i principali attacchi sferrati dai criminali sono stati di tipo ransomware e pre-ransomware. Come noto, si tratta di una categoria di malware attraverso cui ci si impossessa di un dispositivo chiedendo in cambio un riscatto per restituire l’accesso al legittimo proprietario. Tra i ransomware, i più utilizzati nel periodo preso in esame sono stati Play, Cactus, BlackSuit e NoEscape.
Indice degli argomenti
Cisco Talos: i ransomware più utilizzati nell’ultimo trimestre 2023
Play
È un ransomware che ha preso di mira più di 300 organizzazioni in tutto il mondo, come riportato da un documento redatto in maniera congiunta da FBI, CISA (Cybersecurity and Infrastructure Security Agency) e ASD’s ACSC (Australian Signals Directorate’s Australian Cyber Security Centre). Il malware si fonda sull’utilizzo di un file con estensione “.PLAY” che fa da leva per compromettere i sistemi e le reti delle vittime.
BlackSuit
È invece un metodo di attacco che sfrutta le credenziali VPN per ottenere l’accesso a un account privo di autenticazione multifattore (MFA). Scoperto per la prima volta nel maggio 2023, prende di mira le infrastrutture critiche di alcuni settori, tra cui, Manifatturiero, Sanità e Istruzione.
Cactus
Sfrutta le credenziali di account compromessi e opera come ransomware-as-a-service (RaaS). Una volta ottenuto l’accesso ai sistemi informatici delle vittime, utilizza script per disabilitare gli strumenti di sicurezza e distribuire l’infezione.
NoEscape
È un ransomware-as-a-service che impiega principalmente attacchi DDoS (denial-of-service) per costringere le vittime a pagare un riscatto. A differenza degli altri tipi di ransomware, opera secondo un modello di condivisione dei profitti in cui i proventi del riscatto vengono suddivisi tra gli sviluppatori del ransomware e gli affiliati che pagano per adoperarlo.
Manifatturiero, Istruzione e Sanità i bersagli preferiti dagli hacker
In cima alla lista dei settori più colpiti c’è anzitutto il Manifatturiero, seguito da Sanità, pubblica e privata, e Istruzione. Su quest’ultimo ambito, gli Istituti Scolastici rappresentano un mirino privilegiato per la loro vulnerabilità causata dell’esiguità dei budget destinati alla cybersecurity. Questo li rende preda degli hacker che puntano ai dati personali degli studenti i quali, una volta esfiltrati, vengono poi venduti sul dark web per essere impiegati successivamente in nuovi attacchi.
Con riferimento al Manifatturiero, è evidente che non possa permettersi tempi d’inattività, sia per il ruolo cruciale che ricopre nella produzione di beni fondamentali sia per l’effetto a cascata che un’interruzione della produzione produrrebbe lungo la catena del valore. Ecco perché gli attacchi alla supply chain restano una delle tendenze più forti nel crimine informatico stigmatizzato da Cisco Talos.
Dal punto di vista delle vulnerabilità accertate, la mancanza dell’autenticazione a più fattori (MFA) è stata responsabile del 36% degli eventi registrati nel trimestre posto sotto i riflettori dal report. In sostanza, i criminali informatici hanno utilizzato credenziali compromesse per accedere ad account validi. In altri casi, l’MFA è stata aggirata attraverso attacchi “di esaurimento”, una tecnica con cui l’aggressore tenta di autenticarsi ripetutamente a un account sommergendo l’utente di notifiche push MFA fino a quando, per esasperazione, la vittima accetta e permette l’accesso.
Le raccomandazioni di Cisco Talos per le organizzazioni
Da quanto ricordato sopra, nella maggior parte degli eventi di sicurezza che Cisco Talos ha osservato, i criminali informatici hanno ottenuto l’accesso iniziale utilizzando credenziali compromesse per accedere ad account validi. Questo fenomeno è stato affiancato dal ricorso crescente a QR code con link malevoli che puntano a siti progettati per rubare le credenziali dell’utente.
A ogni modo, le raccomandazioni di Cisco Talos vertono su 2 pilastri di cui le organizzazioni devono tenere conto. Da una parte, è fondamentale educare i dipendenti a segnalare in modo tempestivo qualsiasi incidente informatico, in modo da permettere ai team di sicurezza di attuare le misure necessarie per affrontare la situazione. Dall’altra, è essenziale controllare la disponibilità di aggiornamenti così da applicare quelli più recenti. Gli hacker infatti sono sempre alla ricerca di software senza patch. Per questo, servirsi di software aggiornati è uno dei modi più efficaci per evitare un attacco. Non è l’unico modo, ma è certamente la base per minimizzare i rischi di intrusione e violazione.