▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Cisco Talos: l’abuso di credenziali è il vettore d’attacco più diffuso

Gli attacchi contro sanità e servizi finanziari sono in aumento. I cyber criminali entrano quasi spesso in rete abusando di credenziali valide.

Business Vulnerabilità

Fra aprile e giugno i ransomware sono aumentati del 17% rispetto ai primi tre mesi del 2023. Il dato è pubblicato nel Cisco Talos Incident Response Quarterly Report relativo appunto al secondo trimestre, da cui emerge anche che le estorsioni sono lievitate del 25% e che i gruppi maggiormente attivi includono ora le famiglie 8base e MoneyMessage. A doversi difendere dal maggior numero di attacchi cyber sono state la sanità, i servizi finanziari e le utility, seguite a distanza da edilizia, istruzione e altro.

Il tipo di attacco più usato dai cyber criminali è stato il furto di dati a scopo estorsivo. Una scelta scontata considerato che chi orchestra gli attacchi è economicamente motivato, e che ormai accade sempre più spesso che gli attacchi ransomware non eseguano nemmeno più la crittografia, perché le vittime sono più predisposte a pagare per la non divulgazione dei dati esfiltrati. Questo elemento può anche essere correlato alla scelta delle vittime: la sanità è fra i maggiori produttori di dati sensibili, i servizi finanziari sono fra i più ricchi.


I vettori iniziali

L’interesse dei difensori deve accentrarsi sulle TTP che gli attaccanti hanno sfruttato per il primo accesso alla rete aziendale: chiudere questa porta è fondamentale per scongiurare nuovi attacchi. In questo il report di Cisco Talos è un prezioso alleato: scorrendolo si apprende infatti che nel 40% degli interventi totali, i criminali informatici hanno ottenuto l'accesso iniziale utilizzando credenziali compromesse per accedere ad account validi. Il dato è in aumento del 22% rispetto al primo trimestre del 2023.

Il dato non sorprende, Talos ricorda che per arginare questo fenomeno sarebbe sufficiente implementare in maniera corretta l’autenticazione a più fattori (MFA). Tornando ai dati, infatti, sul 40% dei casi indicati sopra, il 90% non disponeva di MFA. E in altri casi l'MFA non era configurato correttamente e gli attaccanti sono riusciti ad aggirarlo con attacchi di esaurimento (quando l'aggressore tenta di autenticarsi ripetutamente a un account utente con credenziali valide per sommergere le vittime di notifiche push MFA, sperando che alla fine accetti).

Le mosse successive dei criminali informatici sono state poi orchestrate senza malware (che potrebbero essere facilmente identificati e bloccati dalle difese cyber), abusando dell’utility di sistema PowerShell. In questo frangente l’unico rimedio è l’impiego di AI e monitoraggio comportamentale per rilevare le attività anomale in rete e segnalarle al SOC per un controllo più approfondito.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 08
Webinar Lexmark | XC9525: il nuovo standard della stampa professionale
Lug 08
Evento V-Valley Pure Storage 2025
Lug 08
Sales & Technical session Copilot for 365 – Italia Cloud Champion
Lug 08
Webinar: Scopri le Novità di Nutanix .NEXT 2025
Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security

Ultime notizie Tutto

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Escalation di privilegi su Linux per due falle critiche

Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1