È sempre più allarme cybersicurezza per le organizzazioni private e pubbliche, con l’estorsione per il furto di dati che rappresenta la principale minaccia osservata nell’ultimo trimestre, pari al 30% del totale a cui Cisco Talos Incident response (Talos IR) ha risposto, in aumento del 25% rispetto allo scorso trimestre.
I dati emergono dal Report Trimestrale di Talos IR, la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity. L’estorsione rientra tra gli attacchi in cui i criminali informatici sono soliti rubare i dati minacciando di diffonderli a meno che la vittima non accetti di pagare una cospicua somma di denaro, ma senza la necessità di utilizzare la crittografia.
Una categoria a parte è rappresentata dagli incidenti che hanno implicato anche la cifratura del file o l’impiego del ransomware. Questo tipo di attacco rappresenta il 17% del totale di impegni cui ha risposto Talos IR nel periodo aprile-giugno, in crescita rispetto al 10% del trimestre precedente.
La sanità è il principale target
I ransomware sono divisi in diverse famiglie, tra cui le operazioni ransomware 8Base e MoneyMessage sono state osservate per la prima volta in questo trimestre e si affiancano alle operazioni ransomware precedentemente viste LockBit e Royal. Clop, Karakurt e RansomHouse sono, invece, i principali gruppi di ransomware che si stanno allontanando dalla crittografia per adottare azioni di estorsione pura.
Il settore della sanità pubblica e privata è quello più colpito di questo trimestre, seguito da quelli dei servizi finanziari e delle utility.
Nella maggior parte degli eventi a cui Talos IR ha risposto fra aprile e giugno, i criminali informatici hanno ottenuto l’accesso iniziale utilizzando credenziali compromesse per accedere ad account validi. L’uso di account validi è stato osservato in quasi il 40% degli interventi totali, con un aumento del 22% rispetto al primo trimestre del 2023.
In oltre il 50% degli attacchi di questo trimestre, è stata osservata PowerShell, un’utility dinamica della riga di comando che continua a essere una scelta molto frequente per i criminali informatici per una serie di motivi tra cui l’invisibilità, la praticità e le ampie funzionalità di gestione It.
Punti deboli della sicurezza
La mancanza o un’implementazione impropria dell’autenticazione a più fattori (Mfa) nei servizi critici è stata responsabile di oltre il 40% degli eventi a cui Cisco Talos ha risposto in questo trimestre.
In quasi il 40% dei casi, i criminali informatici hanno utilizzato credenziali compromesse per accedere ad account validi, il 90% dei quali non disponeva di Mfa. In altri casi, è stato aggirato l’Mfa con attacchi di esaurimento che si verificano quando l’aggressore tenta di autenticarsi ripetutamente a un account utente con credenziali valide per sommergere le vittime di notifiche push Mfa, sperando che alla fine accettino per poi autenticarsi con successo.
Dal ransomware all’estorsione
L’aumento degli incidenti di estorsione per il furto di dati rispetto ai trimestri precedenti è coerente con la segnalazione pubblica di un numero crescente di gruppi di ransomware che rubano dati ed estorce le vittime senza crittografare file e distribuire ransomware.
L’estorsione del furto di dati non è un fenomeno nuovo, ma il numero di incidenti in questo trimestre suggerisce che gli attori delle minacce motivate finanziariamente lo vedono sempre più come un mezzo praticabile per ricevere un pagamento finale. L’esecuzione di attacchi ransomware sta probabilmente diventando più impegnativa a causa delle forze dell’ordine globali e degli sforzi di interruzione del settore, nonché dell’implementazione di difese come l’aumento delle capacità di rilevamento comportamentale e le soluzioni di rilevamento e risposta degli endpoint (EDR).
