È quanto emerge dai dati pubblicati dal report trimestrale Talos Incident Response (Talos IR) di Cisco Talos Intelligence Group, la divisione di threat intelligence di Cisco. Nel secondo trimestre del 2023 gli attacchi informatici sono aumentati in maniera considerevole risetto al trimestre precedente, e il settore più colpito è quello della Sanità pubblica e privata, seguito dal settore dei servizi finanziari e delle utility. Sul primo gradino del podio per tipo di minaccia le estorsioni, un tipo di attacco particolarmente pericoloso, che rispetto al primo trimestre 2023 è in crescita del 25%. I criminali informatici rubano infatti i dati della vittima con la minaccia di diffonderli, a meno che non accetti di pagare una cospicua somma di denaro.
Al secondo posto, dopo le estorsioni, con una crescita del +17% (+10% nel periodo gennaio-marzo) il report segnala gli attacchi ransomware, divisi in diverse famiglie, tra cui 8base e MoneyMessage.
Mancanza dell’autenticazione a più fattori responsabile di oltre il 40% degli eventi
Per oltre il 50% degli attacchi di questo trimestre è stata osservata PowerShell, una utility dinamica della riga di comando che continua a essere una scelta molto frequente per i criminali informatici.
Questo, per una serie di motivi, tra cui l’invisibilità, la praticità e le ampie funzionalità di gestione IT.
La mancanza o un’implementazione impropria dell’autenticazione a più fattori (MFA) nei servizi critici è stata responsabile di oltre il 40% degli eventi a cui Cisco Talos ha risposto nel periodo preso in esame.
Accesso iniziale tramite credenziali compromesse
Nella maggior parte degli eventi a cui Talos IR ha risposto in questo trimestre i criminali informatici hanno ottenuto l’accesso iniziale utilizzando credenziali compromesse (quasi il 40% dei casi, in aumento del 22% rispetto al primo trimestre 2023) per accedere in maniera fraudolenta ad account validi, il 90% dei quali non disponeva di MFA
In altri casi, è stato aggirato l’MFA con attacchi di esaurimento, che si verificano quando l’aggressore tenta di autenticarsi ripetutamente a un account utente con credenziali valide per sommergere le vittime di notifiche push MFA sperando che alla fine accettino, per poi autenticarsi con successo, riporta Adnkronos.
Spear phishing e phishing
Dopo il gruppo dei vettori d’attacco non identificati (‘sconosciuti’), la terza modalità di accesso iniziale più frequente è lo sfruttamento di applicazioni accessibili pubblicamente. Al quarto e quinto posto spear phishing e phishing, rispettivamente quello che utilizza allegati malevoli e quello che incorpora link a pagine Web per la raccolta dei dati, si legge su IctBusiness.
