Cisco Talos ha pubblicato il suo rapporto sulla sicurezza informatica per il primo trimestre del 2023, che raccoglie gli attacchi, gli obiettivi e le tendenze più comuni. Gli script dannosi "web shell" che consentono agli attori delle minacce di compromettere i server basati sul Web aperti a Internet rappresentano circa il 22% degli attacchi informatici.
Secondo il rapporto Cisco Talos, gli script dannosi noti come "web shell" hanno rappresentato il 2023% degli attacchi informatici nel primo trimestre del 22. Nel 30% delle interazioni, l'autenticazione a più fattori (MFA) non è stata abilitata affatto o è stata abilitata solo su servizi limitati. Il settore più preso di mira nei primi 4 mesi è stato il settore sanitario. Seguono la vendita al dettaglio, il commercio e il settore immobiliare.
Commentando i risultati, Fady Younes, Direttore di Cisco, EMEA Service Providers e MEA Cybersecurity, ha dichiarato:
“I criminali informatici stanno acquisendo maggiore esperienza sfruttando le falle nella sicurezza per estendere la loro portata attraverso le reti aziendali. Per prevenire un'ampia gamma di minacce ed essere in grado di rispondere ai rischi in movimento, i difensori informatici devono ridimensionare le proprie strategie di protezione. Ciò significa sfruttare tecnologie avanzate come l'automazione, l'apprendimento automatico e l'intelligenza predittiva per analizzare grandi volumi di dati in tempo reale e identificare potenziali minacce prima che causino danni".
Fady Younes ha anche fornito le seguenti informazioni sulle misure che possono essere prese:
“Con l'aumento delle minacce informatiche, le organizzazioni devono adottare misure proattive per proteggersi da potenziali violazioni. Uno dei principali ostacoli alla sicurezza aziendale è la mancanza di implementazioni dell'architettura Zero Trust in molte organizzazioni. Per impedire l'accesso non autorizzato ai dati sensibili, le aziende dovrebbero implementare una qualche forma di MFA, come Cisco Duo. Le soluzioni di rilevamento e risposta degli endpoint come Cisco Secure Endpoint sono necessarie anche per rilevare attività dannose su reti e dispositivi".
2023 principali minacce informatiche osservate nel primo trimestre del 4
Web shell: in questo trimestre, l'utilizzo di Web shell ha rappresentato circa un quarto delle minacce a cui ha risposto nel primo trimestre del 2023. Sebbene ogni web shell avesse le proprie funzioni principali, gli attori delle minacce spesso le univano insieme per fornire un toolkit flessibile per diffondere l'accesso attraverso la rete.
Ransomware: il ransomware ha rappresentato meno del 10% delle interazioni, una diminuzione significativa rispetto alle interazioni ransomware (20%) nel trimestre precedente. La somma degli attacchi ransomware e pre-ransomware ha rappresentato circa il 22% delle minacce osservate.
Prodotto Qakbot: l'uploader prodotto Qakbot è stato osservato questo trimestre tra le interazioni che utilizzano file ZIP con documenti OneNote dannosi. Gli aggressori utilizzano sempre più OneNote per diffondere il loro malware dopo che Microsoft ha disabilitato le macro nei documenti di Office per impostazione predefinita nel luglio 2022.
Abuso di app pubbliche: l'abuso di app pubbliche è stato il più importante vettore di accesso iniziale in questo trimestre, contribuendo al 45% delle interazioni. Nel trimestre precedente, questo tasso era del 15%.
Principali settori target: Sanità, commercio e immobiliare
Il rapporto ha mostrato che il 30% delle interazioni manca di autenticazione a più fattori o è abilitato solo su determinati account e servizi.
Gli sforzi delle forze di sicurezza hanno decimato le attività delle principali bande di ransomware come Hive ransomware, ma questo ha anche creato lo spazio per la formazione di nuove partnership.
La sanità è stato il settore più preso di mira in questo trimestre. Seguono da vicino i settori del commercio al dettaglio, immobiliare, dei servizi di ristorazione e degli alloggi.