Il phishing resta la modalità di attacco iniziale più diffusa, pur segnando un calo del 40% rispetto al trimestre precedente. Nel 75% dei casi gli aggressori hanno sfruttato account di posta elettronica compromessi, appartenenti a dipendenti interni o partner aziendali fidati, riuscendo così a inviare messaggi credibili e capaci di superare i sistemi di sicurezza. Molti utenti sono stati indotti a inserire credenziali e token di autenticazione multifattoriale su pagine di accesso false particolarmente sofisticate, fornendo agli hacker dati preziosi poi rivenduti nei mercati clandestini o riutilizzati in nuove intrusioni.
Il ransomware ha rappresentato il 50% di tutti gli incidenti analizzati. Oltre alle attività legate al già noto Chaos, Cisco Talos ha osservato per la prima volta attacchi condotti dai gruppi Qilin e Medusa. Nel primo caso documentato, Qilin ha adottato strumenti e tecniche mai viste prima: accesso iniziale tramite credenziali rubate, movimenti laterali nella rete con strumenti di accesso remoto, impiego di un cifrario inedito e nuove modalità di esfiltrazione. Gli attaccanti hanno persino automatizzato processi in grado di riavviare il ransomware a ogni reboot o login, rendendo necessario il ripristino completo delle macchine e il reset delle password a livello aziendale. Secondo Talos, il gruppo starebbe ampliando la propria rete di affiliati o accelerando le operazioni.
Un altro dato emerso riguarda l'uso della versione 1.0 di PowerShell in circa un terzo degli attacchi ransomware: una release obsoleta, priva di funzioni di sicurezza come la registrazione degli script e l'integrazione con gli antivirus, che i criminali sfruttano per aggirare i controlli. Cisco Talos raccomanda di aggiornare a PowerShell 5.0 o versioni successive per ridurre i rischi di compromissione.
Il report segnala inoltre che oltre il 40% degli incidenti ha riguardato problematiche legate all'autenticazione multifattoriale, dovute a configurazioni errate, assenza del sistema o tentativi di bypass. Talos suggerisce di implementare correttamente la MFA, monitorandone l'efficacia in modo continuo e integrandola con firewall per applicazioni web e sistemi di rilevamento in tempo reale.
Il settore dell'Istruzione è stato quello più preso di mira a livello globale nel trimestre, registrando un forte incremento degli attacchi rispetto al periodo precedente. Elevati livelli di attività ransomware sono stati osservati anche nei comparti manifatturiero, delle costruzioni e della pubblica amministrazione.
“La cybercriminalità è in continua evoluzione. Nel secondo trimestre i criminali informatici hanno puntato soprattutto alla vendita di credenziali rubate, un metodo rapido e a basso rischio per fare profitto. Il phishing, pur diminuendo, resta molto efficace per ottenere accessi non autorizzati. Inoltre, l'aumento degli attacchi con il ransomware Qilin dimostra che questa minaccia è molto seria per le aziende", ha dichiarato Renzo Ghizzoni, Country Leader Sales Security di Cisco Italia.
'The Only People Not Involved Are the Creators,' Life Is Strange Writer Says of Amazon TV Adaptation