▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Attacchi BEC e sfruttamento di credenziali in crescita a inizio 2024

I ricercatori di Cisco Talos fanno il punto delle minacce nel primo trimestre: il ransomware avanza cautamente, gli attacchi BEC spaventano anche perché sfruttano sempre di più una scorretta protezione delle credenziali.

Tecnologie/Scenari

Nel primo trimestre del 2024 l'Incident Response Team di Cisco Talos (Talos IR) ha rilevato un notevole aumento degli attacchi BEC, che da soli hanno rappresentato quasi la metà di tutti gli interventi registrati. Nella maggior parte dei casi (29 percento) tali attacchi sono iniziati con lo sfruttamento di credenziali compromesse su account validi, confermando il trend preoccupante della criticità nella gestione delle credenziali di accesso.

Parallelamente, si è registrato un calo leggero ma significativo del ransomware, sebbene Talos IR abbia risposto a nuove varianti di Akira e Phobos. Ultimo ma non meno importante, Palos ha proposto l'analisi delle più diffuse tecniche di attacco MITRE ATT&CK, da cui emerge la tendenza all'abuso dei servizi remoti e allo sfruttamento delle tecniche di evasione della difesa.

BEC in crescita

Come accennato, gli attacchi BEC hanno rappresentato la minaccia predominante nel trimestre. Come da copione, sono stati caratterizzati dall'invio di email di phishing apparentemente provenienti da fonti affidabili, con richieste credibili, con lo scopo di indurre le vittime a trasferire fondi o a cedere informazioni sensibili. Come noto, questo tipo di attacco offre agli attaccanti l'opportunità di impersonare contatti fidati che consentono così di bypassare le difese esterne. L'analisi delle attività di Talos IR ha evidenziato diversi vettori d’attacco iniziali, inclusi attacchi di password sprying e lo sfruttamento delle misconfigurazioni dell'autenticazione multi-fattore (MFA). In particolare, è emerso che la scorretta implementazione MFA ha consentito agli attaccanti di ottenere accesso a più account utilizzando l'autenticazione a singolo fattore.


Ransomware avanti piano

Nonostante un leggero calo, il ransomware rimane una minaccia significativa. L'analisi di Talos IR ha identificato nuove varianti di Akira e Phobos, dimostrando una continua evoluzione delle tattiche utilizzate. In particolare, è stato osservato che gli attaccanti hanno utilizzato tecniche come il dumping delle credenziali da Active Directory e l'installazione di strumenti per il recupero delle password per agevolare l'attacco e ottenere persistenza nell'ambiente. La ricerca ha anche rilevato una tendenza nell'uso della directory "Music" come area di staging per l'esfiltrazione dei dati, evidenziando l'adattabilità e la creatività degli attaccanti.

Infine, l'analisi delle tecniche MITRE ATT&CK ha sottolineato l'importanza dell'abuso dei servizi remoti e delle tecniche di evasione della difesa. La prevalenza dell'utilizzo di regole di occultamento delle email evidenzia la necessità di un costante rafforzamento delle misure di sicurezza per contrastare gli attacchi di phishing. Inoltre, l'abuso dei servizi remoti come RDP, SSH e SMB sottolinea la necessità di una corretta configurazione e monitoraggio di tali servizi per prevenire accessi non autorizzati.


Quanto ai settori più colpiti, l'analisi di Talos IR ha evidenziato che il settore manifatturiero è stato il più bersagliato nel trimestre, seguito da vicino da quello dell'istruzione. Una tendenza che si protrae dal trimestre precedente, confermando che si tratta di settori che continuano a rappresentare obiettivi privilegiati per gli attaccanti. Inoltre, è stato osservato un aumento del 20% negli attacchi al settore manifatturiero rispetto al trimestre precedente, suggerendo che le organizzazioni manifatturiere stanno diventando sempre più vulnerabili agli attacchi informatici.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Dic 19
Webinar v-valley : Barracuda: the power of Choice
Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter