Nel terzo trimestre del 2024, il furto di credenziali ha continuato a dominare il panorama delle minacce cyber. Lo riporta l’ultimo rapporto Cisco Talos Incident Response (Talos IR). Il report evidenzia come i cybercriminali prendano sempre più di mira le identità digitali, con settori specifici come il finanziario, il manifatturiero e l’istruzione particolarmente esposti a questa forma di attacco. Analizzando le tendenze del trimestre, emerge un quadro complesso in cui il furto di credenziali, il ransomware e la gestione delle configurazioni di sicurezza rappresentano le sfide principali. Per questo riproponiamo una panoramica integrata delle minacce attuali, delle tecniche di attacco e delle strategie di difesa, tenendo come riferimento i numeri del report.
Furto di credenziali e attacco alle identità
Un primo riferimento per orientarsi: nel terzo trimestre del 2024, i cybercriminali intensificano gli attacchi finalizzati al furto di credenziali, una delle minacce più pervasive. La compromissione di username e password è particolarmente diffusa, anche per la relativa facilità con cui questo tipo di informazioni può essere ottenuto. In molti casi, una volta ottenuto accesso a un account, i criminali procedono alla creazione di nuovi profili, modificano i privilegi di accesso e utilizzano tecniche di ingegneria sociale per manipolare ulteriori utenti all’interno della rete aziendale. Una delle tecniche più utilizzate per ottenere credenziali sono per esempio le campagna di password spraying, che rappresentano il 25% degli interventi di Talos IR nel trimestre.
Il metodo prevede da parte di chi attacca l’utilizzo di una singola password comune contro più account sulla stessa applicazione, così si evitano blocchi degli account tipici di quando un aggressore utilizza un attacco brute force su un singolo account provando più password: un metodo, il password spraying particolarmente efficace contro le aziende che partecipano alla condivisione delle password.
In risposta a queste minacce, le aziende hanno aumentato l’adozione dell’autenticazione a più fattori (Mfa), ma la sua configurazione scorretta o la facilità con cui può essere aggirata ne compromettono l’efficacia. Ed in circa il 40% degli incidenti analizzati, Cisco Talos ha evidenziato debolezze dovute alla mancanza o configurazione errata della Mfa (multi factor authentication), che espongono le aziende a rischi significativi. Questa tendenza rende evidente l’importanza di una gestione rigorosa delle credenziali e della configurazione dei sistemi di autenticazione.
Ransomware ed estorsioni
Gli attacchi ransomware e le estorsioni legate alla sottrazione di dati rimangono tra le minacce più gravi. Il ransomware e le estorsioni basate sul furto di dati costituiscono in Q3 circa il 40% degli interventi, rendendo questa categoria una delle principali preoccupazioni per la cybersecurity aziendale. Oltre alle varianti di ransomware già note, Cisco Talos identifica tre nuovi malware particolarmente dannosi: RansomHub, Rcru64 e Dragonforce.
Si tratta di minacce con un alto livello di adattabilità utilizzati da cybercriminali che sfruttano le vulnerabilità dei sistemi per sottrarre dati o bloccare l’accesso alle risorse aziendali fino al pagamento di un riscatto. Si parla per questo di un’ondata, quella dei nuovi ransomware, che evidenzia la necessità di disporre di sistemi avanzati di rilevazione e mitigazione delle minacce, in grado di proteggere sia i dati aziendali che le infrastrutture critiche. Gli attacchi di questo tipo possono bloccare intere catene produttive, influenzare le operazioni finanziarie e interrompere la fornitura di servizi pubblici, portando a perdite economiche significative.
I settori sotto attacco
Il report di Cisco Talos mostra che i settori finanziario, manifatturiero e dell’istruzione sono stati i più colpiti dagli attacchi cyber nel terzo trimestre del 2024, rappresentando oltre il 30% delle compromissioni totali. Il settore finanziario è un obiettivo privilegiato a causa della natura dei dati sensibili gestiti, come le informazioni finanziarie e di identificazione personale, che hanno un elevato valore sul mercato nero digitale e possono essere utilizzati per ulteriori frodi.
Il settore manifatturiero, invece, rappresenta un target interessante per i cybercriminali per via della sua rilevanza economica e della dipendenza da sistemi di controllo industriale, che spesso non sono protetti a sufficienza. Un attacco a queste strutture può avere ripercussioni globali sulla catena di fornitura, interrompendo la produzione e causando ritardi significativi. Anche il settore dell’istruzione ha subito un aumento delle incursioni informatiche, in quanto i dati degli studenti e del personale possono essere utilizzati per scopi fraudolenti o per estorcere denaro.
Strategie di sicurezza avanzate
Di fronte a un panorama di minacce sempre più complesso, le organizzazioni stanno adottando strategie difensive basate sull’intelligenza artificiale per migliorare la loro capacità di rilevazione e risposta agli attacchi. L’AI offre infatti vantaggi significativi, permettendo una rilevazione rapida e accurata di comportamenti sospetti. Cisco, ad esempio, ha sviluppato soluzioni come Secure Endpoint e Cisco Umbrella, che utilizzano l’apprendimento automatico per identificare anomalie e mitigare le minacce in modo automatizzato.
Queste tecnologie consentono di isolare minacce e proteggere i dispositivi aziendali senza richiedere interventi manuali costanti, permettendo ai team di sicurezza di concentrarsi su attività strategiche e su interventi di alto livello. Il miglioramento della configurazione e gestione delle soluzioni di endpoint detection e response (Edr) e dell’Mfa è altrettanto cruciale per rafforzare le difese. Secondo Talos IR, la mancanza di una configurazione adeguata delle Edr è stata responsabile di circa il 30% degli incidenti, dimostrando l’importanza di un approccio integrato alla cybersecurity.
© RIPRODUZIONE RISERVATA
