Report Cisco Talos: in crescita gli attacchi ransomware

Quali sono state le minacce informatiche più frequenti tra quelle rilevate negli ultimi tre mesi del 2023?

La risposta è chiara ed è stata illustrata dal recente Report trimestrale di Cisco Talos, la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity: sono stati gli attacchi di tipo ransomware e pre-ransomware, la categoria di malware attraverso cui i criminali si impossessano di un dispositivo, chiedendo un riscatto per restituire l’accesso al proprietario. Tra i ransomware, i più utilizzati sono stati Play, Cactus, BlackSuit e il nuovo NoEscape.  

La maggior parte degli eventi di sicurezza che Cisco Talos ha gestito in questo trimestre, i criminali informatici hanno ottenuto l’accesso iniziale utilizzando credenziali compromesse per accedere ad account validi. È stato anche osservato l’utilizzo crescente di QR code con link malevoli che puntavano a siti progettati per rubare le credenziali dell’utente.

Per quanto riguarda i settori più colpiti, si segnala quello manifatturiero, seguito da quello dell’Istruzione e della Sanità, sia pubblica sia privata. Sono oggetto di attacco anche gli Istituti Scolastici, molto vulnerabili a causa dell'esiguità delle risorse destinate alla cybersecurity, e preda dei criminali per via dei dati personali degli studenti che una volta esfiltrati vengono poi venduti sul dark web e utilizzati per nuovi attacchi.

Altra vittima è stato il settore Manifatturiero, che non può permettersi tempi d’inattività sia per il ruolo cruciale che ricopre nella produzione di beni fondamentali, e sia per l’effetto a cascata che un’interruzione della produzione stessa produrrebbe su altri settori. Per questo gli attacchi alla supply chain rimangono una delle tendenze più forti nel crimine informatico.

I principali tipi di ransomware

Nel periodo preso in esame, Cisco Talos ha fatto fronte per la prima volta a Play, un ransomware che ha preso di mira più di 300 organizzazioni in tutto il mondo. I criminali utilizzano file con estensione ".PLAY" per compromettere i sistemi e le reti delle vittime.

BlackSuit è un metodo di attacco che sfrutta le credenziali VPN per ottenere accesso a un account privo di autenticazione multifattore (MFA). Scoperto per la prima volta nel maggio 2023, il BlackSuit prende di mira principalmente le infrastrutture critiche di alcuni settori, tra cui quello Manifatturiero, il settore sanitario e dell’Istruzione.

Cactus sfrutta invece le credenziali di account compromessi, opera come ransomware-as-a-service (RaaS) e, una volta ottenuto l’accesso ai sistemi informatici delle vittime, utilizza script per disabilitare gli strumenti di sicurezza e distribuire il ransomware.

NoEscape è infine un ransomware-as-a-service (RaaS) che utilizza principalmente attacchi denial-of-service (DDoS) per costringere le vittime a pagare un riscatto. Rispetto agli altri tipi di ransomware, opera secondo un modello di condivisione dei profitti in cui i proventi del riscatto vengono divisi tra gli sviluppatori del ransomware e gli affiliati che pagano per utilizzarlo.

Le tecniche di attacco

Responsabile del 36% degli eventi a cui Cisco Talos ha risposto in questo trimestre è stata la mancanza dell’autenticazione a più fattori (MFA). I criminali informatici hanno utilizzato credenziali compromesse per accedere ad account validi. In altri casi, l’MFA è stata aggirata attraverso attacchi “di esaurimento”, una tecnica con cui l’aggressore tenta di autenticarsi ripetutamente a un account sommergendo l’utente di notifiche push MFA fino a quando, per esasperazione, la vittima accetta permettendo l’accesso.

Cisco raccomanda alle organizzazioni di educare i propri dipendenti a segnalare in modo tempestivo qualsiasi incidente informatico, in modo da permettere ai team di sicurezza di attuare le misure necessarie per affrontare la situazione. Altrettamento importante è controllare e applicare gli aggiornamenti più recenti: gli hacker sono alla ricerca di un software senza patch, e utilizzare un software aggiornato è uno dei modi più efficaci per evitare un attacco.