Il numero di attacchi tramite web shell è aumentato a un ritmo superiore alla media nei primi tre mesi del 2023. Il rapporto Cisco Talos mostra che gli attacchi tramite web shell sono il nuovo principale vettore di attacco nel primo trimestre del 1. Il ransomware può essere respinto meglio.
Secondo l'analisi di Cisco Talos, questo tipo di attacco è stato responsabile di un quarto di tutti gli incidenti esaminati dall'Incident Response Team nel primo trimestre del 2023. Allo stesso tempo, la percentuale di attacchi ransomware rilevati è scesa dal 20% al 10%. Tuttavia, i ricercatori informatici non stanno dando il via libera: perché un quinto di tutte le attività di minaccia osservate era attribuibile a misure degli aggressori, che in genere precedono e preparano un attacco ransomware.
Situazione di minaccia per il primo trimestre 2023
🔎 Molti attacchi tramite web shell: molti account utente di applicazioni web sono protetti solo con password deboli o autenticazione a fattore singolo (Immagine: Cisco).
Talos, una delle più grandi organizzazioni di intelligence sulle minacce commerciali al mondo, ha pubblicato la sua valutazione trimestrale delle minacce per il primo trimestre del 2023. Di conseguenza, le applicazioni Web disponibili al pubblico sono state uno dei principali bersagli degli attori delle minacce durante questo periodo. Quasi la metà di tutti gli attacchi (45%) utilizza tali applicazioni come vettore iniziale per ottenere l'accesso ai sistemi. Rispetto al trimestre precedente, ciò corrisponde a un aumento del 15%.
Molti di questi attacchi utilizzavano web shell che compromettevano i server esposti a Internet. In generale, una web shell è uno script dannoso che si maschera da file legittimo, aprendo così una backdoor al server web. Le web shell vengono solitamente "lasciate indietro" per ulteriori attacchi dopo un'infiltrazione già riuscita. Secondo i ricercatori di Talos, gli aggressori hanno beneficiato del fatto che molti account utente di applicazioni Web erano protetti solo con password deboli o autenticazione a fattore singolo.
Attacco tramite applicazioni Web scarsamente protette
"I fallimenti nella protezione delle applicazioni Web si vendicano", afferma Holger Unterbrink, responsabile tecnico di Cisco Talos in Germania. “I risultati del nostro rapporto chiariscono ancora una volta che l'autenticazione a più fattori e le password complesse fanno ora parte delle basi dell'igiene informatica. Soprattutto quando si tratta di applicazioni importanti come i siti web”.
Difese ransomware rafforzate: Vice Society mitigata
La minaccia ransomware rimane alta. Sebbene Cisco Talos abbia registrato un calo generale dei casi di estorsione riusciti nel primo trimestre, l'attività complessiva di ransomware rimane elevata. Le cosiddette attività "pre-ransomware" hanno rappresentato circa un quinto di tutti gli attacchi, per cui è prevedibile un nuovo aumento degli attacchi riusciti nei prossimi mesi. Cisco Talos è stato in grado di collegare molte delle misure di attacco preparatorie a noti gruppi di ransomware come Vice Society. Secondo i ricercatori, il rapido intervento dei team di sicurezza presso le aziende vittime ha contribuito a contenere gli attacchi prima che potesse avvenire la crittografia.
Nel primo trimestre del 2023, l'assistenza sanitaria è stata l'obiettivo principale dei criminali, seguita da vicino dal commercio al dettaglio, dal settore immobiliare e dall'ospitalità.
Hai un momento?
Dedica qualche minuto al nostro sondaggio tra gli utenti del 2023 e contribuisci a migliorare B2B-CYBER-SECURITY.de!Devi solo rispondere a 10 domande e hai la possibilità immediata di vincere premi da Kaspersky, ESET e Bitdefender.
Qui vai direttamente al sondaggio
OneNote documenta come vettore di attacco
🔎 Nel primo trimestre del 2023, l'assistenza sanitaria è stata l'obiettivo principale dei criminali, seguita da vicino dal commercio al dettaglio (Immagine: Cisco).
Il cosiddetto "malware di base" era già in aumento lo scorso anno. È ampiamente utilizzato e può essere acquistato o scaricato gratuitamente. Il malware merceologico è in genere non personalizzato e sfruttato dagli attori delle minacce in varie fasi delle loro attività. Nel primo trimestre del 2023, i caricatori di merci precedentemente avvistati come Qakbot hanno fatto di nuovo un'apparizione più forte. Qakbot utilizzava spesso documenti OneNote dannosi.
L'uso di allegati dannosi di OneNote potrebbe essere osservato anche in altri tentativi di attacco. Quindi gli attori delle minacce continuano a sperimentare tipi di file che non si basano su macro, secondo l'analisi di Talos. Microsoft ha iniziato a disabilitare le macro nelle sue applicazioni per impostazione predefinita nel luglio 2022. Anche altre applicazioni che contengono e gestiscono altri file sono interessate.
Ulteriori risultati nel primo trimestre 2023
- Il XNUMX% dei casi di attacco osservati aveva l'autenticazione a più fattori (MFA) non abilitata affatto o solo per pochi account e servizi critici.
- I recenti successi delle forze dell'ordine nello smantellamento di grandi bande di ransomware (ad esempio Hive) stanno avendo effetto. Tuttavia, questo crea spazio per nuove famiglie o per la formazione di nuove unioni. Una nuova famiglia di ransomware-as-a-service (RaaS) è apparsa con Daixin Ransomware nel primo trimestre del 1.
- Il toolkit open source Mimikatz è stato utilizzato in quasi il 60% delle distribuzioni di ransomware e pre-ransomware in questo trimestre. Mimikatz è uno strumento post-sfruttamento ampiamente utilizzato per rubare ID di accesso, password e token di autenticazione da sistemi Windows compromessi.
A proposito di Cisco Cisco è l'azienda tecnologica leader a livello mondiale che rende possibile Internet. Cisco sta aprendo nuove possibilità per le applicazioni, la sicurezza dei dati, la trasformazione dell'infrastruttura e il potenziamento dei team per un futuro globale e inclusivo.