Cisco Talos, mail aziendali nel mirino dei cybercriminali

I primi tre mesi del 2024 hanno visto crescere - più del doppio rispetto all’ultimo trimestre del 2023 - la compromissione delle mail aziendali. Otre il 50 % dell’attività svolta da Cisco Talos è incentrata a causa di ciò proprio nell’identificare e fermare questo tipo di minacce (BEC). L'utilizzo di credenziali compromesse di account validi è stato uno dei metodi più utilizzati per ottenere l'accesso iniziale Quasi la metà degli attacchi del periodo preso in esame ha colpito i sistemi di autenticazione a più fattori (MFA), sfruttando l’accettazione di notifiche push non autorizzate da parte degli utenti: un metodo che si è verificato nel 25% degli attacchi.

Una notizia positiva e una negativa 

In tema di ransomware, sono da segnalare una buona e una cattiva notizia. Il Report di Cisco Talos ha registrato un lieve calo di questo tipo di attacchi, che nel primo trimestre dell’anno ha rappresentato il 17% dell’attività svolta dall’intelligence di Cisco, ma  sono stati rilevati per la prima volta due nuovi ransomware: Phobos, che sfrutta una chiave di registro per consentire connessioni desktop da remoto, e Akira, un ransomware-as-a-service (RaaS) che utilizza un doppio schema di estorsione, con l'esfiltrazione dei dati e la successiva crittografia.

I settori più colpiti

Al primo posto, tra i settori più colpiti, c’è quello manifatturiero, con un aumento delle attività di intelligence del 20% rispetto al trimestre precedente. Si tratta di un settore molto importante, che non può permettersi tempi d’inattività per il ruolo che ricopre nella produzione di beni fondamentali e per l'effetto a cascata che un’interruzione della produzione produrrebbe in altri settori. Al secondo posto si trovano il settore dell’Istruzione: gli istituti scolastici restano uno dei target preferiti dai criminali a causa degli scarsi budget destinati alla cybersecurity e per via dei dati personali degli studenti che, una volta esfiltrati, vengono venduti sul dark web e utilizzati per nuovi attacchi. La Sanità, sia pubblica e privata, è il terzo settore maggiormente colpito nel primo trimestre: la tipologia dei dati delle strutture sanitarie, che tendono a pagare rapidamente il riscatto per poter ripristinare i servizi il prima possibile, è la ragione di questo dato.

Vettori iniziali

Nella maggior parte degli attacchi a cui Talos IR ha risposto in questo trimestre, i criminali informatici hanno ottenuto l’accesso iniziale utilizzando credenziali compromesse per accedere ad account validi. L’uso di account validi è stato osservato in quasi il 30% degli interventi totali.

I punti deboli della sicurezza

L'accettazione di notifiche push MFA non autorizzate da parte degli utenti è stata, per la prima volta, responsabile del 25% degli eventi a cui Cisco Talos ha risposto in questo trimestre. Tale situazione si verifica quando l’aggressore tenta di autenticarsi ripetutamente a un account utente con credenziali valide al fine di sommergere le vittime di notifiche push MFA fino a quando, per esasperazione, la vittima accetta permettendo l’accesso.

Cisco Talos raccomanda alle aziende e agli utenti di controllare e utilizzare sempre gli aggiornamenti più recenti. I criminali informatici sono alla ricerca delle patch mancanti: un software aggiornato è uno dei metodi più efficaci per evitare una compromissione.