Il ransomware è riuscito a scivolare dal primo posto per la maggior parte degli attacchi solo nel secondo trimestre. Nel terzo trimestre, il rapporto Cisco Talos elenca che per la prima volta l'istruzione è il settore più colpito dagli attacchi informatici, dal ransomware.
Secondo l'analisi di Cisco Talos Incident Response (CTIR), il ransomware è tornato in cima a tutti gli attacchi informatici nel terzo trimestre del 2022. Come nel primo trimestre, i tentativi di ricatto sono stati il metodo di attacco più comune. Oltre a noti rappresentanti di ransomware come Hive e Vice Society, sono state utilizzate nuove varianti come Black Basta. C'è stato anche un cambiamento nei settori più colpiti: l'istruzione ha sostituito il settore delle telecomunicazioni.
Lista degli attacchi: istruzione poi finanza
Talos, una delle più grandi organizzazioni di intelligence sulle minacce commerciali al mondo, ha pubblicato la sua valutazione trimestrale delle minacce per il terzo trimestre del 2022. In base a ciò, gli aggressori hanno spesso preso di mira il settore dell'istruzione, seguito da vicino dalla finanza, dal governo e dall'energia.
"Per la prima volta nel 2022, il settore delle telecomunicazioni non era più il settore più attaccato", ha dichiarato Holger Unterbrink, responsabile tecnico di Cisco Talos in Germania. “Ciò potrebbe indicare che le aziende di tutto il mondo hanno aumentato in modo significativo le loro misure di protezione e sono quindi obiettivi meno redditizi per gli aggressori. Attualmente, il sistema educativo, il settore pubblico e i fornitori di energia devono rafforzare le loro difese, in particolare attraverso l'autenticazione a più fattori e soluzioni di rilevamento delle minacce".
Vecchi e nuovi ransomware
🔎 Nel terzo trimestre del rapporto Talos, il ransomware è di nuovo la minaccia numero 3 di attacco (Immagine: Cisco).
Nel terzo trimestre, Talos ha osservato sempre più attacchi tramite le note famiglie di ransomware Hive e Vice Society. Vive Society è stata utilizzata in modo sproporzionato per gli attacchi informatici alle istituzioni educative, come illustrato da un caso dall'Austria. Analizzando i registri degli eventi, i ricercatori della sicurezza di Talos hanno rilevato numerosi tentativi da parte di un host infetto di connettersi ad altre parti della rete tramite il Remote Desktop Protocol (RDP). Ciò indicava un cosiddetto "movimento laterale" degli aggressori. Ciò che si intende è il tentativo di un hacker da un sistema compromesso di trovare le informazioni dell'utente con autorizzazioni di accesso nei computer client, con le quali può quindi spostarsi attraverso la rete.
Talos ha anche trovato indicatori per l'uso del software di accesso remoto AnyDesk e TeamViewer, con oltre 50 sistemi che accedono agli URL relativi a TeamViewer. Allo stesso tempo, Windows Defender è stato integrato con un'eccezione per l'esecuzione di "AnyDesk.exe" tramite l'account SYSTEM.
Black Basta ransomware in prima linea
Oltre alle note famiglie di ransomware, è stata sempre più utilizzata anche la nuova variante Black Basta, apparsa per la prima volta nell'aprile 2022. Ad esempio, la loro iniezione è stata preparata dalle attività di Qakbot che utilizzavano il dirottamento dei thread e file ZIP protetti da password. In un attacco a un'azienda statunitense, gli aggressori probabilmente hanno prima inviato un'e-mail di phishing con un allegato HTML. Una volta aperto, ha avviato un JavaScript che ha quindi scaricato un file ZIP dannoso. Questo ha quindi installato il trojan Qakbot, che gli aggressori hanno utilizzato per lanciare il ransomware Black Basta. La tecnica del doppio ricatto basata su questo è particolarmente perfida: se la vittima non paga un riscatto per i propri file crittografati, c'è il rischio che le informazioni sensibili raccolte vengano pubblicate.
I risultati di Talos chiariscono che la minaccia rappresentata dal ransomware non è stata scongiurata. Per la prima volta, il rapporto ha registrato un numero uguale di casi di ransomware e pre-ransomware nel terzo trimestre, che insieme rappresentano quasi il 40% delle minacce. Le attività pre-ransomware preparano il ransomware per la successiva distribuzione, come nel caso Black Basta descritto sopra.
Mentre ogni attività che porta a una minaccia ransomware è unica, ci sono punti in comune. Questi includono l'enumerazione degli host, la raccolta delle credenziali e l'escalation dei privilegi. Se in seguito non viene utilizzato alcun ransomware, l'aggressore potrebbe aver rubato dati sufficienti per causare danni significativi.
Altro su Cisco.com
A proposito di Cisco
Cisco è l'azienda tecnologica leader a livello mondiale che rende possibile Internet. Cisco sta aprendo nuove possibilità per le applicazioni, la sicurezza dei dati, la trasformazione dell'infrastruttura e il potenziamento dei team per un futuro globale e inclusivo.