Cybersecurity: attacchi di estorsione in aumento

Come sappiamo, il mondo dei reati legati alla cybersecurity è sempre in costante evoluzione e si moltiplicano i vettori d’attacco così come le modalità ed i gruppi di hacker. In un report trimestrale di Cisco Talos è stato notato come, in modo sorprendente, dopo anni di dominio degli attacchi ransomware stiano prendendo sempre più piede gli attacchi a scopo di estorsione, con vari gruppi anche noti che si stanno spostando in questo nuovo modello di minaccia.

A fronte di un aumento del 25% rispetto ai primi tre mesi dell’anno, quella che tecnicamente viene chiamata Data Theft Extortion, ovvero un attacco mirato a minacciare la vittima di pubblicare i dati importanti in cambio di denaro, è salita ed ha, come abbiamo detto, superato in classifica gli attacchi ransomware con il 30% delle minacce rilevate. Le minacce a scopo estorsivo non installano virus o malware all’interno delle macchine delle vittime, poiché l’hacker si limita ad entrare nei sistemi ed estrarre dati. Il problema riguarda attualmente le strutture sanitarie, che hanno subito il 22% degli attacchi, oltre al settore della finanza e gli erogatori di servizi pubblici.

Per capire la portata di queste azioni per gli hacker bisogna segnalare il fatto che due tra i gruppi maggiormente noti per gli attacchi ransomware come Clop e BianLian adesso siano passati agli attacchi a scopo di estorsione insieme ad altri attori noti come RansomHouse e Karakurt che, sebbene con modalità diverse, hanno iniziato a colpire con una certa efficacia. RansomHouse ad esempio cerca maggiormente di fare breccia sfruttando vulnerabilità di sistema già note mentre Karakurt riesce a rubare i dati sfruttando campagne di phishing estraendo quindi le credenziali a chi cade nella trappola. Questa seconda modalità d’attacco rappresenta il 40% degli attacchi, arrivando al furto grazie probabilmente a chiavi d’accesso che non erano salvate nei sistemi aziendali bensì nei device personali dei dipendenti.

Proprio analizzando questa modalità di accesso si è notato che molte delle vittime non avevano ancora implementato la ormai nota autenticazione a più fattori oppure che lo avevano fatto in modo del tutto errato e quindi privo di sicurezza. Ad ogni modo, quasi la totalità degli attacchi sarebbe stata evitata soltanto attivando la MultiFactor Authentication. In pochi casi comunque gli utenti che avevano invece attivato la autenticazione a più fattori avevano ricevuto talmente tante richieste d’accesso che alla fine si son trovati a cedere. Le soluzioni a questi problemi sono varie, a partire dal blocco dell’accesso a fronte di ripetuti tentativi o direttamente il blocco degli account che non impostano la MFA. Un altro problema che viene notato è quello degli accessi con privilegi troppo elevati per gli elementi esterni alle aziende, che dopo essere stati violati poiché trattati in modo più distratto rispetto ai dipendenti veri e propri sono diventati una porta d’accesso per malintenzionati. Anche in questo caso si rimedia assegnando privilegi molto bassi o esclusivamente per le operazioni necessarie alle attività del fornitore esterno e questo restringimento delle possibilità potrebbe valere anche per gli stessi dipendenti, assegnando ruoli ad-hoc e non accessi senza limiti.

 

Fonte: 1