Sono stati gli attacchi di tipo ransomware e pre-ransomware – ossia quella categoria di malware attraverso cui i criminali si impossessano di un dispositivo chiedendo un riscatto per restituire l’accesso al legittimo proprietario – le principali minacce informatiche rilevate negli ultimi tre mesi del 2023. E fra i ransomware, i più utilizzati sono stati Play, Cactus, BlackSuit e il nuovo NoEscape. Questi i principali elementi che emergono dal nuovo Report trimestrale di Cisco Talos, la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity.
I settori più colpiti
In cima alla lista dei settori più colpiti c’è quello manifatturiero, seguito da quello dell’Istruzione e della Sanità, sia pubblica e privata.
Nel mirino anche gli Istituti Scolastici, molto vulnerabili a causa dell’esiguità dei budget destinati alla cybersecurity, e preda dei criminali per via dei dati personali degli studenti che una volta esfiltrati vengono poi venduti sul dark web e utilizzati per nuovi attacchi.
Altra vittima è stato il settore Manifatturiero, che non può permettersi tempi d’inattività sia per il ruolo cruciale che ricopre nella produzione di beni fondamentali, e sia per l’effetto a cascata che un’interruzione della produzione stessa produrrebbe su altri settori. Ecco perché gli attacchi alla supply chain restano una delle tendenze più forti nel crimine informatico.
I principali tipi di ransomware
Nell’ultimo trimestre del 2023 Cisco Talos ha fatto fronte per la prima volta a Play, un ransomware che ha preso di mira più di 300 organizzazioni in tutto il mondo. I criminali utilizzano file con estensione “.PLAY” per compromettere i sistemi e le reti delle vittime.
BlackSuit è invece un metodo di attacco che sfrutta le credenziali VPN per ottenere accesso a un account privo di autenticazione multifattore (MFA). Scoperto per la prima volta nel maggio 2023, il BlackSuit prende di mira principalmente le infrastrutture critiche di alcuni settori, tra cui quello Manifatturiero, della Sanità e dell’Istruzione.
Cactus sfrutta invece le credenziali di account compromessi, opera come ransomware-as-a-service (RaaS) e, una volta ottenuto l’accesso ai sistemi informatici delle vittime, utilizza script per disabilitare gli strumenti di sicurezza e distribuire il ransomware.
NoEscape è infine un ransomware-as-a-service (RaaS) che utilizza principalmente attacchi denial-of-service (DDoS) per costringere le vittime a pagare un riscatto. Rispetto agli altri tipi di ransomware, opera secondo un modello di condivisione dei profitti in cui i proventi del riscatto vengono divisi tra gli sviluppatori del ransomware e gli affiliati che pagano per utilizzarlo.
Vettori iniziali
Nella maggior parte degli eventi di sicurezza che Cisco Talos ha gestito in questo trimestre, i criminali informatici hanno ottenuto l’accesso iniziale utilizzando credenziali compromesse per accedere ad account validi. È stato anche osservato l’utilizzo crescente di QR code con link malevoli che puntavano a siti progettati per rubare le credenziali dell’utente.
Punti deboli della sicurezza
La mancanza dell’autenticazione a più fattori (MFA) è stata responsabile del 36% degli eventi a cui Cisco Talos ha risposto in questo trimestre. I criminali informatici hanno utilizzato credenziali compromesse per accedere ad account validi. In altri casi, l’MFA è stata aggirata attraverso attacchi “di esaurimento”, una tecnica con cui l’aggressore tenta di autenticarsi ripetutamente a un account sommergendo l’utente di notifiche push MFA fino a quando, per esasperazione, la vittima accetta permettendo l’accesso.
Raccomandiamo alle organizzazioni di educare i propri dipendenti a segnalare in modo tempestivo qualsiasi incidente informatico, in modo da permettere ai team di sicurezza di attuare le misure necessarie per affrontare la situazione. È essenziale controllare e applicare gli aggiornamenti più recenti: gli hacker sono sempre alla ricerca di un software senza patch, e utilizzare un software aggiornato è uno dei modi più efficaci per evitare un attacco.