Report Cisco Talos: aumentano gli attacchi ransomware. Manifatturiero, Istruzione e Sanità i settori più colpiti

Milano, 1 febbraio 2024 — Sono stati gli attacchi di tipo ransomware e pre-ransomware  -  ossia quella categoria di malware attraverso cui i criminali si impossessano di un dispositivo chiedendo un riscatto per restituire l’accesso al legittimo proprietario  - le principali minacce informatiche rilevate negli ultimi tre mesi del 2023. E fra i ransomware, i più utilizzati sono stati Play, Cactus, BlackSuit e il nuovo NoEscape. Questi i principali elementi che emergono dal nuovo Report trimestrale di Cisco Talos, la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity.

I settori più colpiti

In cima alla lista dei settori più colpiti c’è quello manifatturiero, seguito da quello dell’Istruzione e della Sanità, sia pubblica e privata.

Nel mirino anche gli Istituti Scolastici, molto vulnerabili a causa dell’esiguità dei budget destinati alla cybersecurity, e preda dei criminali per via dei dati personali degli studenti che una volta esfiltrati vengono poi venduti sul dark web e utilizzati per nuovi attacchi.

Altra vittima è stato il settore Manifatturiero, che non può permettersi tempi d’inattività sia per il ruolo cruciale che ricopre nella produzione di beni fondamentali, e sia per l’effetto a cascata che un’interruzione della produzione stessa produrrebbe su altri settori. Ecco perché gli attacchi alla supply chain restano una delle tendenze più forti nel crimine informatico.

I principali tipi di ransomware

Nell’ultimo trimestre del 2023 Cisco Talos ha fatto fronte per la prima volta a Play, un ransomware che ha preso di mira più di 300 organizzazioni in tutto il mondo. I criminali utilizzano file con estensione ".PLAY" per compromettere i sistemi e le reti delle vittime.

BlackSuit è invece un metodo di attacco che sfrutta le credenziali VPN per ottenere accesso a un account privo di autenticazione multifattore (MFA). Scoperto per la prima volta nel maggio 2023, il BlackSuit prende di mira principalmente le infrastrutture critiche di alcuni settori, tra cui quello Manifatturiero, della Sanità e dell’Istruzione.

Cactus sfrutta invece le credenziali di account compromessi, opera come ransomware-as-a-service (RaaS) e, una volta ottenuto l’accesso ai sistemi informatici delle vittime, utilizza script per disabilitare gli strumenti di sicurezza e distribuire il ransomware.

NoEscape è infine un ransomware-as-a-service (RaaS) che utilizza principalmente attacchi denial-of-service (DDoS) per costringere le vittime a pagare un riscatto. Rispetto agli altri tipi di ransomware, opera secondo un modello di condivisione dei profitti in cui i proventi del riscatto vengono divisi tra gli sviluppatori del ransomware e gli affiliati che pagano per utilizzarlo.

Vettori iniziali

Nella maggior parte degli eventi di sicurezza che Cisco Talos ha gestito in questo trimestre, i criminali informatici hanno ottenuto l’accesso iniziale utilizzando credenziali compromesse per accedere ad account validi. È stato anche osservato l’utilizzo crescente di QR code con link malevoli che puntavano a siti progettati per rubare le credenziali dell’utente.

Punti deboli della sicurezza

La mancanza dell’autenticazione a più fattori (MFA) è stata responsabile del 36% degli eventi a cui Cisco Talos ha risposto in questo trimestre. I criminali informatici hanno utilizzato credenziali compromesse per accedere ad account validi. In altri casi, l’MFA è stata aggirata attraverso attacchi “di esaurimento”, una tecnica con cui l’aggressore tenta di autenticarsi ripetutamente a un account sommergendo l’utente di notifiche push MFA fino a quando, per esasperazione, la vittima accetta permettendo l’accesso.

Raccomandiamo alle organizzazioni di educare i propri dipendenti a segnalare in modo tempestivo qualsiasi incidente informatico, in modo da permettere ai team di sicurezza di attuare le misure necessarie per affrontare la situazione. È essenziale controllare e applicare gli aggiornamenti più recenti: gli hacker sono sempre alla ricerca di un software senza patch, e utilizzare un software aggiornato è uno dei modi più efficaci per evitare un attacco.

Risorse aggiuntive:

• Quarterly Report: Incident Response Trends in Q4 2023 blog
• Incident Response trends Q4 2023 threat one page summary

A proposito di Cisco
Cisco (NASDAQ: CSCO) è il leader tecnologico mondiale che connette tutto in modo sicuro per rendere tutto possibile. Il nostro obiettivo è quello di creare un futuro inclusivo per tutti, aiutando i nostri clienti a reimmaginare le loro applicazioni, ad alimentare il lavoro ibrido, a proteggere le loro aziende, a trasformare le loro infrastrutture e a raggiungere i loro obiettivi di sostenibilità. Scopri di più sulla sezione italiana di EMEA Network e seguici su Twitter @CiscoItalia. Digitaliani: l'impegno Cisco per la Digitalizzazione del Paese.

Cisco e il logo Cisco sono marchi o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in altri Paesi. Un elenco dei marchi Cisco è disponibile all'indirizzo www.cisco.com/go/trademarks. I marchi di terze parti citati appartengono ai rispettivi proprietari. L'uso del termine partner non implica un rapporto di partnership tra Cisco e altre aziende.

Ufficio Stampa Cisco: Marianna Ferrigno - pressit@external.cisco.com
Prima Pagina Comunicazione - ciscocorporate@primapagina.it