Il ransomware si conferma la principale minaccia informatica per Cisco Talos

Cisco Talos, una delle principali agenzie private di intelligence sulle minacce informatiche, ha pubblicato la nuova attesa analisi trimestrale, che evidenzia come il ransomware sia - attualmente - la minaccia numero uno in ambito cyber security. Tra aprile e giugno, infatti, gli attacchi di questo tipo hanno rappresentato quasi la metà di tutti quelli effettuati dai cyber criminali a livello globale: la seconda minaccia - lo sfruttamento delle vulnerabilità di Microsoft Exchange Server - ha un'incidenza inferiore di tre volte. I criminali hanno preso di mira numerosi settori tra cui i trasporti, le telecomunicazioni, la manifatura, l'istruzione, ma quello che risulta più colpito è - per tre trimestri consecutivi - la Sanità, subito seguita dalla Pubblica Amministrazione.

Fabio Panada, Technical Solutions Architect - Security di Cisco Italia ha così commentato: “Ci sono diversi motivi che spingono i criminali informatici a colpire il settore sanitario, uno di questi è la pandemia che incoraggia le vittime a pagare rapidamente il riscatto per poter ripristinare i servizi il prima possibile. La prevenzione, l’integrazione delle soluzioni di cybersecurity e la formazione sono le nostre difese”.  

Gli strumenti usati dagli hacker per questi attacchi

Fra gli strumenti più usati per condurre gli attacchi, Cisco segnala Cobalt Strike,  applicazioni open source tra cui Rubeus e tool integrati nell'OS come PowerShell. In questo trimestre Cisco Talos ha riscontrato anche altre minacce informatiche: gli hacker hanno sfruttato soprattutto vulnerabilità note e l’utilizzo di account compromessi per violare i sistemi e usare la loro potenza di calcolo per minare criptovalute. L'utilizzo di unità USB per veicolare malware di Troian (una modalità che non veniva utilizzata da anni) sembra essere tornato in auge: sono stati rilevati infatti diversi incidenti. Gli attacchi di supply chain, invece, sono in forte aumento: non solo è cresciuto il loro numero, ma è aumentato il grado complessità e sofisticazione di queste minacce. Infatti, dopo il problema occorso al maggiore oleodotto degli Stati Uniti (quello della Colonial Pipeline), un altro attacco di tipo supply chain ha catturato l'attenzione dei media di tutto il mondo: quello subito da Kaseya, una società con sede a Miami, che fornisce servizi IT a circa 40.000 clienti in tutto il mondo e che sembra aver colpito più di un migliaio di queste aziende.

“L’autenticazione a più fattori (MFA) rimane una delle più importanti difese che possiamo utilizzare”, ha confermato Panada. “Si possono prevenire numerosi tentativi di attacchi ransomware semplicemente abilitando l'MFA sui servizi critici. Le soluzioni Cisco Security, inserite in uno proceso ZeroTrust, possono rilevare le attività non autorizzate e porre rimedio in modo tempestivo”.