Nel primo trimestre del 2024 l'Incident Response Team di Cisco Talos (Talos IR) ha rilevato un notevole aumento degli attacchi BEC, che da soli hanno rappresentato quasi la metà di tutti gli interventi registrati. Nella maggior parte dei casi (29 percento) tali attacchi sono iniziati con lo sfruttamento di credenziali compromesse su account validi, confermando il trend preoccupante della criticità nella gestione delle credenziali di accesso.

Parallelamente, si è registrato un calo leggero ma significativo del ransomware, sebbene Talos IR abbia risposto a nuove varianti di Akira e Phobos. Ultimo ma non meno importante, Palos ha proposto l'analisi delle più diffuse tecniche di attacco MITRE ATT&CK, da cui emerge la tendenza all'abuso dei servizi remoti e allo sfruttamento delle tecniche di evasione della difesa.

BEC in crescita

Come accennato, gli attacchi BEC hanno rappresentato la minaccia predominante nel trimestre. Come da copione, sono stati caratterizzati dall'invio di email di phishing apparentemente provenienti da fonti affidabili, con richieste credibili, con lo scopo di indurre le vittime a trasferire fondi o a cedere informazioni sensibili. Come noto, questo tipo di attacco offre agli attaccanti l'opportunità di impersonare contatti fidati che consentono così di bypassare le difese esterne. L'analisi delle attività di Talos IR ha evidenziato diversi vettori d’attacco iniziali, inclusi attacchi di password sprying e lo sfruttamento delle misconfigurazioni dell'autenticazione multi-fattore (MFA). In particolare, è emerso che la scorretta implementazione MFA ha consentito agli attaccanti di ottenere accesso a più account utilizzando l'autenticazione a singolo fattore.

Ransomware avanti piano

Nonostante un leggero calo, il ransomware rimane una minaccia significativa. L'analisi di Talos IR ha identificato nuove varianti di Akira e Phobos, dimostrando una continua evoluzione delle tattiche utilizzate. In particolare, è stato osservato che gli attaccanti hanno utilizzato tecniche come il dumping delle credenziali da Active Directory e l'installazione di strumenti per il recupero delle password per agevolare l'attacco e ottenere persistenza nell'ambiente. La ricerca ha anche rilevato una tendenza nell'uso della directory "Music" come area di staging per l'esfiltrazione dei dati, evidenziando l'adattabilità e la creatività degli attaccanti.

Infine, l'analisi delle tecniche MITRE ATT&CK ha sottolineato l'importanza dell'abuso dei servizi remoti e delle tecniche di evasione della difesa. La prevalenza dell'utilizzo di regole di occultamento delle email evidenzia la necessità di un costante rafforzamento delle misure di sicurezza per contrastare gli attacchi di phishing. Inoltre, l'abuso dei servizi remoti come RDP, SSH e SMB sottolinea la necessità di una corretta configurazione e monitoraggio di tali servizi per prevenire accessi non autorizzati.

Quanto ai settori più colpiti, l'analisi di Talos IR ha evidenziato che il settore manifatturiero è stato il più bersagliato nel trimestre, seguito da vicino da quello dell'istruzione. Una tendenza che si protrae dal trimestre precedente, confermando che si tratta di settori che continuano a rappresentare obiettivi privilegiati per gli attaccanti. Inoltre, è stato osservato un aumento del 20% negli attacchi al settore manifatturiero rispetto al trimestre precedente, suggerendo che le organizzazioni manifatturiere stanno diventando sempre più vulnerabili agli attacchi informatici.