Nel secondo trimestre del 2023 gli attacchi informatici sono aumentati in maniera considerevole rispetto al periodo gennaio-marzo con le estorsioni che superano il ransomware.
I principali target sono il settore della sanità pubblica e privata, seguito da quelli dei servizi finanziari e delle utility.
Sono questi i dati pubblicati dal Report Trimestrale di Cisco Talos Incident Response (Talos IR), tra le più grandi organizzazioni private di intelligence dedicata alla cybersecurity
Le estorsioni sono più redditizie
L’ estorsione, in aumento del 25% rispetto al primo trimestre, è un tipo di attacco particolarmente pericoloso: i criminali informatici rubano i dati minacciando di diffonderli a meno che la vittima non accetti di pagare una cospicua somma di denaro, senza la necessità di utilizzare la crittografia.
Al secondo posto, con una crescita del 17% - contro il 10% di gennaio-marzo - ci sono invece i ransomware, divisi in diverse famiglie tra cui 8base e MoneyMessage.
Credenziali compromesse, i vettori iniziali
Nella maggior parte degli eventi a cui Talos IR ha risposto in questo trimestre, i criminali informatici hanno ottenuto l'accesso iniziale utilizzando credenziali compromesse per accedere ad account validi.
L'uso di account validi è stato osservato in quasi il 40% degli interventi totali, con un aumento del 22% rispetto al primo trimestre del 2023.
I criminali informatici prediligono PowerShell, un'utility dinamica della riga di comando che continua a essere una scelta molto frequente (in oltre il 50% degli attacchi di questo trimestre) per una serie di motivi tra cui l'invisibilità, la praticità e le ampie funzionalità di gestione IT.
I punti deboli della sicurezza
Nel 40% degli eventi a cui Cisco Talos ha risposto in questo trimestre è mancata o vi è stata un'implementazione impropria dell’autenticazione a più fattori (Mfa).
I cyber criminali hanno utilizzato credenziali compromesse per accedere ad account validi in quasi il 40% dei casi, il 90% dei quali non disponeva di Mfa.
In altri casi, è stato aggirato Mfa con attacchi di esaurimento che si verificano quando l'aggressore tenta di autenticarsi ripetutamente a un account utente con credenziali valide per sommergere le vittime di notifiche push Mfa, sperando che alla fine accettino per poi autenticarsi con successo.