Nel primo trimestre dell’anno aumentano gli attacchi che sfruttano le web-shell e diminuiscono quelli ransomware. Fra i punti deboli spicca la mancanza di MFA.
Sono le web-shell le minacce maggiori registrate nel primo trimestre 2023; il ransomware ha costituito solo una quota minoritaria. Fra i vettori iniziali primeggiano le applicazioni rivolte al pubblico, seguite da alcune vulnerabilità note. Sono questi alcuni dei dati di maggiore importanza inclusi nel report trimestrale di Cisco Talos relativo al periodo fra gennaio e marzo 2023.
Il primo dato che salta all’occhio è proprio l’arretramento del ransomware rispetto ai trimestri precedenti: è passato dal 20% a circa il 10%, con aggiustamenti tecnici di cui abbiamo già parlato in precedenza: Qakbot usato come loader tramite la diffusione di documenti OneNote dannosi. Quasi il 30% delle minacce informatiche registrate nel periodo in esame è stato di tipo web-shell, ossia quella particolare categoria di attacchi che sfrutta la vulnerabilità di server e applicazioni per eseguire comandi, spostare file, accedere ai log ed eseguire query malevole.
Passiamo ai punti deboli: il 45% degli attacchi ha sfruttato le applicazioni utilizzate dagli utenti, un aumento significativo rispetto al 15% del trimestre precedente. A ciò si aggiungono la compromissione di account che hanno utilizzato password troppo semplici e con una sola autenticazione. La mancanza dell’autenticazione a più fattori (MFA) rimane uno dei maggiori ostacoli alla sicurezza aziendale: quasi il 30% delle vittime non ha abilitato l’MFA o lo ha fatto solo su pochi account e servizi critici, permettendo così al criminale informatico di accedere e autenticarsi.
Sul fronte dei settori più bersagliati, quello maggiormente colpito nel periodo in esame è stata la sanità pubblica e privata, seguita dalla vendita al dettaglio, commercio, settore immobiliare e hospitality.