Milano, 18 febbraio 2025 – Nel terzo trimestre del 2023 il 35% dell'attività di Cisco Talos, la più grande organizzazione privata al mondo dedicata all'intelligence per la cybersecurity, si è concentrato nell’indentificare e contrastare gli attacchi informatici alle applicazioni web, in aumento di oltre il 10% rispetto al trimestre precedente. Il ransomware, pur confermandosi come una delle principali minacce informatiche, ha invece rappresentato quasi il 30% degli interventi di sicurezza, con un calo del 10% rispetto a tre mesi fa. Istruzione, Finanziario e Sanità i settori più colpiti.
Gli attacchi alle applicazioni web
Negli attacchi alle applicazioni web e nelle successive attività di compromissione i criminali informatici, dopo aver ottenuto l'accesso iniziale sfruttando vulnerabilità note e l'assenza di patch, hanno impiegato diverse tecniche. Tra queste figurano sia le web shell, interfacce che permettono l'accesso remoto a un server web, e sia gli attacchi brute force, che mirano a individuare una password provando tutte le combinazioni possibili di lettere, caratteri speciali e numeri per penetrare nei sistemi informativi e accedere ai dati delle vittime.
Le principali tendenze del ransomware
Il 30% degli interventi di sicurezza tra ottobre e dicembre ha riguardato la gestione di attacchi ransomware e pre-ransomware, una categoria specifica di malware utilizzata dagli hacker per compromettere dispositivi e richiedere un riscatto in cambio del ripristino dell'accesso al legittimo proprietario. Si registra un leggero calo rispetto al trimestre precedente, quando questi interventi rappresentavano il 40%.
Nel 75% dei casi, i criminali hanno ottenuto l'accesso iniziale ai sistemi informativi sfruttando account validi compromessi. Inoltre, tutte le organizzazioni colpite da ransomware non avevano implementato correttamente l'autenticazione a più fattori (MFA) o hanno subito l'aggiramento di questa misura di sicurezza durante l'attacco. Questo dato evidenzia il rischio crescente degli attacchi basati sull'identità e sottolinea la necessità di adottare metodi di autenticazione più sicuri.
Cisco Talos ha inoltre registrato un aumento nell'uso del ransomware BlackBasta per attacchi a doppia estorsione, una tecnica che prevede l'esfiltrazione di informazioni sensibili successivamente crittografate per spingere le vittime al pagamento del riscatto.
I settori più colpiti
In cima alla lista dei settori più colpiti c'è l'Istruzione, con quasi il 30% degli attacchi, seguita da quello Finanziario, dalla Sanità sia pubblica che privata, nonché dal settore della Pubblica Amministrazione.
Accesso iniziale
Nella maggior parte degli eventi a cui Talos IR ha risposto questo trimestre, i criminali informatici hanno ottenuto l'accesso iniziale sfruttando applicazioni destinate al pubblico. Si tratta di un cambiamento significativo rispetto ai trimestri precedenti, quando l'uso di account validi era una delle tecniche più comuni. Questo aumento è probabilmente legato al crescente numero di attacchi che hanno sfruttato applicazioni con patch obsolete o addirittura mancanti.
Dall'inizio di dicembre 2024, Cisco Talos ha registrato un'impennata degli attacchi di tipo password spraying, che hanno causato il blocco degli account utente e la negazione dell'accesso VPN. Questi attacchi si distinguono per l'alto volume di traffico generato. Ad esempio, un'organizzazione ha segnalato quasi 13 milioni di tentativi in 24 ore contro account noti, suggerendo che i criminali informatici stessero probabilmente conducendo attacchi automatizzati.
Le raccomandazioni di Cisco Talos
Autenticazione a più fattori: è fondamentale assicurarsi che l'MFA venga applicata a tutti i servizi critici, inclusi quelli di accesso remoto e di gestione delle identità e degli accessi (IAM). Inoltre, per proteggersi dal social engineering, Cisco Talos raccomanda una formazione periodica sulla consapevolezza della sicurezza informatica.
Aggiornare regolarmente i software utilizzati: Cisco Talos consiglia alle aziende e agli utenti di verificare e adottare sempre gli aggiornamenti più recenti. I criminali informatici sono costantemente alla ricerca di patch mancanti: mantenere il software aggiornato è uno dei metodi più efficaci per prevenire compromissioni.
Le soluzioni EDR: è necessario assicurarsi che le soluzioni EDR (Endpoint Detection and Response) siano implementate e configurate correttamente. Le soluzioni EDR mal configurate o assenti sono state coinvolte in oltre il 25% degli incidenti registrati in questo trimestre. Se un'organizzazione non dispone delle risorse per adottare direttamente queste soluzioni, può considerare i fornitori di servizi Managed XDR, che offrono un monitoraggio attivo 24 ore su 24, 7 giorni su 7.
###
A proposito di Cisco
Cisco (NASDAQ: CSCO) è il leader tecnologico mondiale che connette tutto in modo sicuro per rendere tutto possibile. Il nostro obiettivo è quello di creare un futuro inclusivo per tutti, aiutando i nostri clienti a reimmaginare le loro applicazioni, ad alimentare il lavoro ibrido, a proteggere le loro aziende, a trasformare le loro infrastrutture e a raggiungere i loro obiettivi di sostenibilità. Scopri di più sulla sezione italiana di EMEA Network e seguici su Twitter @CiscoItalia. Digitaliani: l'impegno Cisco per la Digitalizzazione del Paese.
Cisco e il logo Cisco sono marchi o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in altri Paesi. Un elenco dei marchi Cisco è disponibile all'indirizzo www.cisco.com/go/trademarks. I marchi di terze parti citati appartengono ai rispettivi proprietari. L'uso del termine partner non implica un rapporto di partnership tra Cisco e altre aziende.
Ufficio Stampa Cisco: Marianna Ferrigno - pressit@external.cisco.com
Prima Pagina Comunicazione – Francesco Petruzzi – francesco@primapagina.it
.jpg)
.jpg)
.jpg)
.jpg)
