Report Cisco Talos 2024: un anno di minacce informatiche

Di
Redazione Data Manager Online
-
Report Cisco Talos 2024: un anno di minacce informatiche

Nel 2024 un attacco informatico su cinque legato all’identità ha coinvolto applicazioni cloud, con le API come obiettivo principale per l’accesso ai dati sensibili.

Nel 70% dei casi di ransomware, i cybercriminali hanno usato account legittimi per ottenere l’accesso iniziale, mentre i settori più colpiti dal ransomware sono stati istruzione, pubblica amministrazione, industria e sanità. Questi appena citati sono soltanto alcuni dei dati emersi dal report annuale 2024 di Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity. Il report ha rivelato anche altre cose interessanti, come ad esempio che lo scorso anno molti attacchi sono avvenuti usando credenziali rubate, chiavi API, certificati digitali e altri metodi per assumere l’identità delle vittime. Gli attacchi basati sull’identità hanno inoltre rappresentato il 60% dei casi di Incident Response gestiti da Cisco Talos, mentre in quasi tre quarti degli attacchi ransomware i criminali informatici hanno sfruttato account validi per ottenere l’accesso iniziale.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

“Il report annuale di Cisco Talos per il 2024 mette in luce l’evoluzione delle minacce informatiche, con un focus sugli attacchi mirati all’identità e sull’abuso dell’autenticazione multifattore. Le tecniche di social engineering, potenziate dall’uso dell’intelligenza artificiale generativa, hanno reso gli attacchi più complessi e pericolosi. Inoltre, il fatto che gli hacker siano riusciti a disabilitare le soluzioni di sicurezza nel 48% degli attacchi ransomware evidenzia quanto sia importante rafforzare le difese per affrontare minacce sempre più sofisticate.” ha dichiarato Renzo Ghizzoni, Country Leader Sales Security di Cisco Italia.

Nel 2024 il settore più colpito dagli attacchi ransomware è stato quello dell’istruzione, spesso vulnerabile per via di budget limitati, burocrazia e una rete informatica complessa. Subito dopo troviamo la pubblica amministrazione, la produzione e la sanità.

Leggi anche:  Cybersecurity, nel terzo trimestre 2024 aumentano ancora gli incidenti informatici contro le imprese italiane

Le misure di sicurezza di base restano fondamentali, poiché gli aggressori sfruttano spesso falle già conosciute e facilmente accessibili. Inoltre, molti attacchi analizzati da Talos IR hanno approfittato di soluzioni endpoint mal configurate o prive di protezioni adeguate, come l’assenza di password per agenti o connettori.

Nel 2024, il gruppo di cybercriminali LockBit è stato il più attivo tra quelli che offrono servizi di Ransomware-as-a-Service (RaaS), a giudicare dal numero di dati pubblicati sui siti di leak. Nonostante un tentativo di scioglimento a marzo 2024, LockBit ha mantenuto il primato per il terzo anno consecutivo. Al secondo posto si trova RansomHub, un nuovo gruppo che prende di mira grandi aziende con richieste di riscatto molto alte.

Il rapporto sottolinea anche il ruolo dell’intelligenza artificiale (IA). Nel 2024, gli hacker l’hanno usata soprattutto per migliorare tecniche già esistenti, come il social engineering e l’automazione delle attività, piuttosto che per sviluppare nuovi metodi d’attacco. I criminali hanno quindi preferito ottimizzare tecniche collaudate piuttosto che investire in nuove soluzioni basate sull’IA.

Principali risultati del report

  • Nel 2024, gli hacker hanno sfruttato soprattutto vecchie vulnerabilità già conosciute da anni.
  • Molte di queste falle di sicurezza riguardano software e hardware molto diffusi, come Apache Log4j e il linguaggio di programmazione Bash, colpendo aziende di diversi settori e aree geografiche.
  • Gli attacchi basati sull’identità hanno rappresentato il 60% dei casi gestiti da Cisco Talos.
  • Di questi, il 44% ha preso di mira Active Directory.
  • Un attacco su cinque legato all’identità ha coinvolto applicazioni cloud, con le API come obiettivo principale per l’accesso ai dati sensibili.
  • Nel 70% dei casi di ransomware, i cybercriminali hanno usato account legittimi per ottenere l’accesso iniziale.
  • I settori più colpiti dal ransomware sono stati istruzione, pubblica amministrazione, industria e sanità.
  • Nella maggior parte degli attacchi analizzati da Talos IR, gli hacker hanno tentato di disattivare le soluzioni di sicurezza delle vittime, riuscendoci quasi sempre.
Leggi anche:  L’intelligence per decidere

Le 5 raccomandazioni di Cisco Talos per la sicurezza:

  • Installare aggiornamenti e patch appena disponibili
  • Adottare metodi di autenticazione come MFA e password complesse
  • Implementare best practice quali controlli di accesso, segmentazione della rete e formazione dei dipendenti
  • Crittografare tutto il traffico per monitoraggio e configurazione
  • Applicare misure di sicurezza anche all’infrastruttura di rete.