Rapporto Cisco Talos: sempre più attacchi alle applicazioni web
Secondo la nuova analisi di Cisco Talos sui vettori di minaccia globali, gli attacchi alle applicazioni Web sono aumentati significativamente nel terzo trimestre del 2023. I settori più colpiti dagli attacchi sono stati le telecomunicazioni e l'istruzione. La mancanza di autenticazione a più fattori rimane una delle maggiori vulnerabilità.
Cisco Talos ha presentato l'analisi trimestrale delle minacce per il terzo trimestre del 2023. In questo periodo, il 30% di tutti gli incidenti ha riguardato attacchi alle applicazioni Web. Un aumento notevole rispetto all'8% del trimestre precedente. Queste attività hanno riguardato attacchi a iniezione, tra cui SQL injection, e l'uso di web shell.
Il ransomware rimane una minaccia costante e rappresenta il 10% degli incidenti. Durante il terzo trimestre, che ha coperto i mesi di luglio, agosto e settembre, le famiglie di ransomware LockBit e BlackByte sono state attive come nei trimestri precedenti. Tuttavia, per la prima volta, il team Talos ha osservato una nuova variante del ransomware BlackByte, apparsa con il nome di BlackByte NT.
L'analisi mostra che le applicazioni non correttamente configurate e la mancanza di autenticazione a più fattori (MFA) sono le due principali vulnerabilità di sicurezza. "Tutte le organizzazioni dovrebbero implementare una qualche forma di MFA, in quanto si tratta di un meccanismo di protezione efficace per impedire l'accesso non autorizzato a sistemi e dati", afferma Roman Stefanov, Head of Cyber Security Sales di Cisco Svizzera. Tuttavia, sottolinea che bisogna comunque fare attenzione. "Gli aggressori cercano di ingannare gli utenti con i cosiddetti attacchi a esaurimento, ovvero con molti messaggi push contemporaneamente. È fondamentale rimanere vigili".
Telecomunicazioni e istruzione nel mirino
Secondo Talos, i settori delle telecomunicazioni e dell'istruzione sono stati i più bersagliati. Ciascuno di questi settori ha rappresentato il 20% degli incidenti. Sono stati attivi sia singoli attori delle minacce che gruppi con motivazioni e competenze diverse.
Le società di telecomunicazioni sono obiettivi interessanti perché controllano diversi asset infrastrutturali critici. Esse fungono da punto di ingresso per gli aggressori per accedere ad altre organizzazioni, abbonati o fornitori terzi. Queste organizzazioni spesso detengono grandi quantità di dati dei clienti, che vengono spesso presi di mira da criminali informatici con motivazioni economiche, come i gruppi di ransomware.
Gli istituti scolastici sono interessanti per i criminali informatici perché detengono grandi quantità di dati personali degli studenti, così come gli istituti di ricerca con preziosa proprietà intellettuale. Molte organizzazioni educative dispongono di un budget limitato per la sicurezza informatica, il che può limitare la loro capacità di difendersi.
Nel terzo trimestre del 2023 è stato scoperto anche il gruppo APT (Advanced Persistent Threats) precedentemente sconosciuto "ShroudedSnooper". Prende di mira le aziende di telecomunicazioni e segue quindi la tendenza ad attacchi altamente sofisticati in questo settore. Nell'ambito di questa attività, ShroudedSnooper ha implementato due nuovi impianti backdoor chiamati "HTTPSnoop" e "PipeSnoop". Queste backdoor interagiscono con i driver e i dispositivi del core HTTP di Windows per monitorare le richieste in arrivo per specifici URL HTTP(S) ed eseguire i contenuti contenuti sull'endpoint infetto.
Fonte: www.cisco.com
