Sommario
Il primo trimestre del 2023 è stato caratterizzato da un aumento delle minacce informatiche tramite web shell, che hanno rappresentato quasi il 30% di tutti gli attacchi. Questa particolare categoria di attacchi sfrutta la vulnerabilità di server e applicazioni per eseguire comandi, spostare file, accedere ai log ed svolgere query malevole. Al contrario, sono diminuiti gli attacchi ransomware e pre-ransomware, passati dal 20% al 10% circa.
Cisco Talos Incident Response
Secondo Cisco Talos Incident Response (Talos IR), gli hacker si affidano sempre di più alle web shell per portare avanti le loro operazioni, come dimostra il fatto che questa tecnica è stata riscontrata nel 22% di tutti gli attacchi nel primo trimestre del 2023.
Le web shell hanno superato il ransomware come minaccia vista più spesso negli impegni di Talos IR. Anche se ogni web shell aveva le sue funzioni di base, gli attori delle minacce spesso le concatenavano insieme per fornire un toolkit flessibile per la diffusione dell’accesso sulla rete.
Il Report gennaio – marzo 2023
Il Report Trimestrale di Cisco Talos, la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity, ha rilevato che la maggior parte di questi attacchi sono stati eseguiti da gruppi hacker di spicco, come ad esempio Vice Society. Inoltre, i criminali informatici sono sempre più abili nel combinare diversi metodi di accesso e strumenti flessibili e adattabili, per aumentare la probabilità di distribuire ulteriori malware o per ottenere informazioni sensibili e private.
I principali target
I settori più colpiti sono stati la sanità pubblica e privata, seguiti da quelli della vendita al dettaglio, del commercio, del settore immobiliare e dell’ospitalità. Le applicazioni utilizzate dagli utenti sono state il principale punto debole, rappresentando il 45% degli attacchi, con un aumento significativo rispetto al trimestre precedente.
I punti deboli
La compromissione di account che hanno utilizzato password troppo semplici e con una sola autenticazione è stata un’altra importante vulnerabilità. La mancanza dell’autenticazione a più fattori (MFA) rimane uno dei maggiori ostacoli alla sicurezza aziendale, con quasi il 30% delle vittime che non ha abilitato l’MFA o lo ha fatto solo su pochi account e servizi critici, permettendo così ai criminali informatici di accedere e autenticarsi.
In conclusione, il Report Trimestrale di Cisco Talos evidenzia la necessità per le aziende di adottare misure di sicurezza più efficaci per proteggere le proprie reti e i propri dati. L’utilizzo di password complesse e l’abilitazione dell’autenticazione a più fattori sono solo alcune delle precauzioni che le aziende possono adottare per mitigare il rischio di attacchi informatici.
Per approfondire i Report di Cisco si consiglia la lettura di: