BEC e Ransomware in Pole Position. Il 60% degli attacchi informatici è servito per Q2-2024

Secondo il rapporto Cisco Talos Incident Response (Talos IR), il secondo trimestre del 2024 è stato un periodo di attacchi informatici attivi, con la compromissione della posta elettronica aziendale (BEC) e il ransomware che sono emersi come le minacce principali. 

Questi due tipi di attacchi rappresentano il 60% di tutti i casi registrati.

BEC e Ransomware in Pole Position

Anche se il numero degli attacchi BEC è diminuito rispetto al trimestre precedente, essi continuano a rappresentare una minaccia significativa. Allo stesso tempo si è registrato un leggero aumento degli attacchi ransomware, tra i quali si sono notati per la prima volta Mallox e Underground Team, insieme ai già noti Black Basta e BlackSuit.

La principale modalità di accesso iniziale è stata l’utilizzo di credenziali compromesse, con un incremento del 25% rispetto al trimestre precedente.

Le aziende del settore tecnologico hanno subito il maggior numero di attacchi, rappresentando il 24% di tutti gli incidenti, seguite da sanità, prodotti farmaceutici e vendita al dettaglio. Nel settore tecnologico il numero degli attacchi è aumentato del 30%, il che si spiega con l’importante ruolo di queste aziende nel supportare e servire molti altri settori, rendendole un bersaglio attraente per gli aggressori.

In lieve aumento anche il numero degli attacchi ai dispositivi di rete, che rappresentano il 24% dei casi. Questi attacchi includevano sfruttamento di password, scansioni per il rilevamento delle vulnerabilità e il relativo sfruttamento.

Gli attacchi BEC i più insidiosi

Gli attacchi BEC continuano a guadagnare slancio. Gli aggressori compromettono la posta elettronica aziendale inviando e-mail di phishing per ottenere informazioni sensibili come le credenziali. Spesso utilizzano richieste finanziarie false per modificare i dettagli di pagamento. In diversi casi è stato utilizzato il phishing tramite SMS, tramite il quale venivano inviati messaggi falsi ai dispositivi mobili personali dei dipendenti.

Il ransomware ha rappresentato il 30% di tutti gli attacchi, in aumento del 22% rispetto al trimestre precedente. Sono stati registrati gli attacchi di Mallox, Underground Team, Black Basta e BlackSuit. Nell’80% degli attacchi ransomware, l’autenticazione a più fattori (MFA) mancava sui sistemi critici, rendendo più semplice l’accesso per gli aggressori.

Negli attacchi di Mallox gli aggressori hanno infettato e crittografato i server Microsoft SQL senza lasciare traccia di furto di dati o spostamento laterale. I Mallox utilizzano tecniche di doppia estorsione, il che li rende particolarmente pericolosi.

Underground Team, un nuovo gruppo ransomware, ha utilizzato SSH per lo spostamento laterale e ha recuperato gli account Active Directory disattivati ​​per aumentare i propri privilegi e crittografare i sistemi critici.

BlackSuit e Black Basta hanno continuato la loro attività, utilizzando credenziali compromesse per ottenere l’accesso e stabilire una presenza permanente sulle reti. Questi gruppi utilizzano spesso strumenti legittimi per sferrare i propri attacchi, rendendoli difficili da individuare.

Si è registrato anche un aumento del numero di attacchi ai dispositivi di rete, in cui gli aggressori hanno utilizzato vulnerabilità come CVE-2018-0296 e CVE-2020-3259 per ottenere accesso non autorizzato alle informazioni.

Come proteggersi

La modalità principale di primo accesso resta l’utilizzo di credenziali compromesse, a cui si associa un aumento del 25% rispetto allo scorso trimestre.

I punti deboli della sicurezza, come sistemi vulnerabili o mal configurati e la mancanza di MFA, sono diventati i principali fattori che contribuiscono al successo degli attacchi. In un caso gli aggressori hanno utilizzato uno switch di rete obsoleto, il che aumenta il rischio di guasti e attacchi informatici.

Per ridurre i rischi, si consiglia di implementare l’MFA su tutti i sistemi critici e di aggiornare regolarmente software e hardware. È inoltre importante formare i dipendenti a riconoscere gli attacchi di phishing e ad applicare controlli di accesso basati sull’analisi dei tentativi di accesso rischiosi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.