Nel regno del cybercrimine, il ransomware siede ancora sul trono. Secondo i dati di Cisco Talos, la rete di monitoraggio e di intelligence di Cisco, nel trimestre di luglio-settembre di quest’anno il 40% delle minacce informatiche rilevate apparteva alle categorie di ransomware e pre-ransomware. Ed è da oltre due anni che il ransomware si rivela la tipologia di attacco più presente nei report trimestrali di Cisco Talos.
Nel terzo trimestre particolarmente attive sono state tre famiglie di ransomware già note, cioè Vice Society, Hive e BlackBasta. Inoltre la rete di Cisco ha osservato (in numero pressoché analogo a quello degli attacchi ransomware) una grande quantità di “comportamenti pre-ransomware”, cioè di azioni che preparano il terreno per l’attacco crittografico: raccolta di informazioni sugli host, raccolta di credenziali, tentativi di escalation dei privilegi e di movimento laterale tramite sfruttamento di vulnerabilità. In alcuni casi gli autori degli attacchi sono riusciti anche a esfiltrare dati dalla rete target, ancor prima di scatenare il ransomware.
Seguono, tra le minacce più diffuse nel trimestre, gli attacchi di Business Email Compromise (Bec) e phishing, il malware “commodity”, gli exploit di applicazioni esposte verso l’utente, le minacce e intimidazioni via email, i DDoS (Distributed Denial-of-Service), le minacce interne, la convalida delle credenziali o brute force, gli attacchi di rete.
Il settore delle telecomunicazioni, che da fine 2021 risultava il più colpito, scivola in classifica dopo l’ambito dell’istruzione (in testa alla lista probabilmente perché gli attacchi hanno coinciso con la riapertura di scuole e università), energia, servizi finanziari, Pubblica Amministrazione.
Cisco sottolinea un problema irrisolto: la mancanza dell’autenticazione a più fattori (multi-factor authentication, Mfa) rimane uno dei maggiori ostacoli alla sicurezza aziendale. Quasi il 18% delle aziende colpite da cyber attacchi non ha abilitato l’Mfa o lo ha fatto solo su pochi account e servizi critici, e questo ha permesso ai criminale informatici di autenticarsi e accedere alle risorse target .