Aggiornamenti recenti Aprile 1st, 2025 2:38 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
- SharePoint inondato dallo spam: la colpa è di un dominio Stream compromesso
- RedCurl passa al ransomware: scoperto il primo attacco con QWCrypt
Le vulnerabilità software non patchate spianano la strada ai ransomware
Kaspersky ha pubblicato il suo Incident Response report, indagine annuale sugli incidenti di cybersicurezza e dei malware analizzati. Il report, relativo al 2022, ha evidenziato che quasi il 46% degli attacchi registrati, per lo più ransomware, ha colpito organizzazioni in Russia e della Comunità degli Stati Indipendenti; a seguire troviamo il Medio Oriente, con il 22,5% degli attacchi, le Americhe, col 14,3%, e l’Europa, con il 13,3% degli attacchi.
A livello di settore, gli enti governativi sono stati i più colpiti, subendo quasi il 20% degli attacchi; seguono le realtà del settore finanziario, col 18,37% degli attacchi, e l’industria, col 17,35% degli attacchi.
Le vulnerabilità software hanno rappresentato ancora una volta il vettore iniziale più diffuso per gli attacchi. Il trend è rimasto stabile negli ultimi 4 anni, segno che la presenza di vulnerabilità conosciute ma non patchate è il modo più efficace per ottenere l’accesso ai sistemi. Segue l’uso di account compromessi e di email con allegati malevoli.
Freepik
Il 39,8% degli incidenti è stato causato da un attacco ransomware: i dati cifrati rappresentano il problema più sentito dalle organizzazioni. Anche in questi casi gli attaccanti hanno sfruttato per la maggior parte le vulnerabilità delle applicazioni pubbliche sul web.
Durata degli attacchi e tempi di risposta
Il 2022 è stato caratterizzato per lo più di attacchi di breve durata: nel 69,4% dei casi gli attacchi sono durati ore, al massimo giorni, e solo il 16,3% degli attacchi è durato un mese o più. In entrambi i casi il ransomware è stato il tipo di attacco con i maggiori impatti, sia in termini di costi di ripristino che di perdita di dati.
Se si guarda ai tempi di risposta, per gli attacchi di breve durata le organizzazioni hanno impiegato in media poco più di due giorni e mezzo per contrastare l’attacco, ripristinare i sistemi e indagare sull’accaduto.
Come sottolinea Kaspersky, avere un buon piano di risposta agli attacchi è fondamentale per ridurre l’impatto degli incidenti. Il monitoraggio continuo dei sistemi è indispensabile per individuare i primi segnali di un possibile attacco e prendere provvedimenti prima che si verifichi.
Pixabay
Nell’analisi di Kaspersky è emerso che la presenza di file cifrati e di attività sospette nella rete aziendale sono forti indicatori di attacchi ransomware in corso: rispettivamente, nel 40% e nel 30% dei casi questi segnali si sono poi rivelati effettivi attacchi per la cifratura e l’estorsione dei dati aziendali.
I tool più usati e le vulnerabilità più comuni
Il 46% degli incidenti di sicurezza analizzati da Kaspersky è legato all’uso di tool. Quasi la metà degli attacchi ha utilizzato strumenti legittimi del sistema operativo, tattica nota come LOLbin – Living Off the Land bin che permette agli attaccanti di minimizzare l’impronta sul sistema operativo e mascherare la loro attività. A questi si aggiungono tool di attacco reperibili su GitHub, come Mimikatz e AdFind, e framework commerciali come Cobalt Strike.
Le vulnerabilità più sfruttate dagli attaccanti nel 2022 sono le stesse del 2021 e riguardano per la maggior parte falle presenti in Microsoft Exchange. I cybercriminali continuano inoltre a usare le vulnerabilità di Apache Log4j, riuscendo a eseguire codice remoto.
Pixabay
Per proteggere la propria organizzazione, Kaspersky consiglia di implementare policy di autenticazione robuste utilizzando l’autenticazione multi-fattore, rimuovere l’accesso pubblico dalle porte per la gestione dei device, impostare una policy zero-tolerance per la gestione delle patch e assicurarsi che i dipendenti siano consapevoli dei rischi di sicurezza dell’azienda.
Per migliorare l’individuazione e la risposta agli attacchi è fondamentale usare uno stack di sicurezza con telemetria EDR, testare regolarmente i tempi di reazione dei tool di sicurezza ed eventualmente migliorare le configurazioni, e implementare regole per l’individuazione di strumenti pervasivi usati dagli attaccanti.
Infine, gli esperti di sicurezza consigliano il backup regolare dei dati e l’addestramento continuo dei team di sicurezza per rimanere aggiornati sulle ultime minacce e sulle vulnerabilità più comuni.
Condividi l'articolo
- backup, Kaspersky, Kaspersky Incident Response report, LOLbin, patch sicurezza, Ransomware, vulnerabilità
Ransomware, dati criptati nel 76% dei casi: è il livello più alto degli ultimi anni
Per Fortinet il 2023 sarà l’anno del cybercrime-as-a-service
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è... -
Kaspersky avverte: email aziendali usate per account... Kaspersky lancia un segnale d’allarme: registrare account...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
SharePoint inondato dallo spam: la colpa è di un dominio... Un vecchio dominio di Microsoft Stream è stato compromesso... -
RedCurl passa al ransomware: scoperto il primo attacco con... RedCurl, gruppo hacker russo attivo almeno dal 2018 e...
Ransomware: la serie
No posts found.
