Malgrado una diminuzione degli interventi BEC rispetto allo scorso trimestre, gli ultimi tre mesi del 2024 presi in esame hanno comunque rappresentato una grave minaccia per privati e aziende.
L’ultimo report di Cisco Talos ha anche rilevato per la prima volta due nuovi ransomware: Mallox e Underground Team. Il primo è un ransomware-as-a-service (RaaS) che utilizza un doppio schema di estorsione, con l’esfiltrazione dei dati e la successiva crittografia, mentre Underground Team rappresenta più propriamente un gruppo di ransomware progettati anch’essi per crittografare i file delle vittime con lo scopo di richiedere un riscatto in denaro per la loro decrittazione.
I settori più colpiti
In cima alla lista dei settori più colpiti c’è quello Tecnologico che ha registrato il 24% delle attività di intelligence di Cisco Talos. Le aziende di questo settore sono prese di mira dai criminali informatici perché permettono di accedere ad altri settori e ad altre aziende grazie al loro ruolo di fornitore di servizi e di infrastrutture.
Al secondo posto troviamo il settore della Vendita al dettaglio, un settore che attira i criminali non solo per la mole di dati prodotta, ma anche perché difficilmente può permettersi lunghi tempi d’inattività e rischiare così un grave danno d’immagine.
La Sanità, sia pubblica e privata, si conferma ancora il terzo settore più colpito: una preferenza dovuta ai dati sensibili in possesso delle strutture sanitarie che tendono a pagare rapidamente il riscatto per poter ripristinare i servizi il prima possibile.
Vettori iniziali
Nella maggior parte degli attacchi a cui Talos IR ha risposto in questo trimestre, i criminali informatici hanno ottenuto l’accesso iniziale utilizzando credenziali compromesse per accedere ad account validi. L’utilizzo di account validi è stato osservato in quasi il 60% degli interventi totali.
Punti deboli della sicurezza
I sistemi vulnerabili o mal configurati e la mancanza di un’adeguata implementazione dell’MFA sono stati i principali punti deboli della sicurezza in questo trimestre, e hanno rappresentato quasi la totalità degli eventi a cui Cisco Talos ha risposto. Cisco Talos consiglia di implementare l’MFA su tutti i servizi critici, inclusi tutti i servizi di accesso remoto e di gestione dell’accesso all’identità (IAM). Inoltre, è essenziale controllare e utilizzare sempre gli aggiornamenti più recenti. I criminali informatici sono alla ricerca delle patch mancanti: un software aggiornato è uno dei metodi più efficaci per evitare una compromissione.
Cisco protegge il 100% delle aziende Fortune 100. Per saperne di più, visita il sito cisco.com/go/security.