Scenario

Cisco Talos, il ransomware si conferma la principale minaccia informatica per sanità e PA

Il ransomware è la minaccia numero uno per la sicurezza informatica. Tra aprile e giugno, ha rappresentato quasi la metà di tutti gli attacchi a livello globale, tre volte tanto la seconda minaccia, lo sfruttamento delle vulnerabilità di Microsoft Exchange Server.

Secondo l’ultima analisi trimestrale di Cisco Talos, i criminali hanno preso di mira numerosi settori tra cui i trasporti, le telecomunicazioni, la produzione, l’istruzione e la sanità, la più colpita per il terzo trimestre di fila, subito seguita dalla pubblica amministrazione.

«Ci sono diversi motivi che spingono i criminali informatici a colpire il settore sanitario, uno di questi è la pandemia che incoraggia le vittime a pagare rapidamente il riscatto per poter ripristinare i servizi il prima possibile. La prevenzione, l’integrazione delle soluzioni di cybersecurity e la formazione sono le nostre difese» ha dichiarato Fabio Panada, Technical Solutions Architect – Security di Cisco Italia.

Per effettuare i loro attacchi, i criminali hanno utilizzato diversi strumenti come Cobalt Strike, applicazioni open source tra cui Rubeus e alcuni tool nativi utilizzati dalle vittime , come, per esempio, PowerShell.

cisco

«L’autenticazione a più fattori (MFA) rimane una delle più importanti difese che possiamo utilizzare – aggiunge Panada – si possono prevenire numerosi tentativi di attacchi ransomware semplicemente abilitando l’MFA sui servizi critici. Le soluzioni Cisco Security, inserite in uno proceso ZeroTrust, possono rilevare le attività non autorizzate e porre rimedio in modo tempestivo».

Altre minacce informatiche, rilevate da Cisco Talos in questo trimestre, includono lo sfruttamento di vulnerabilità note, il mining di criptovalute e l’utilizzo di account compromessi.

Cisco Talos ha rilevato anche diversi incidenti relativi all’utilizzo di unità USB per veicolare malware di Troian, una modalità che non veniva utilizzata da anni, in particolar modo in ambienti OT.

Poco dopo il problema occorso all’oleodotto della Colonial Pipeline, un altro attacco di tipo supply chain ha ottenuto l’attenzione dei media: si ritiene che più di 1.000 aziende potrebbero essere state colpite dall’attacco cha preso di mira Kaseya, società con sede a Miami, che fornisce servizi IT a circa 40.000 clienti in tutto il mondo, molti delle quali Managed Service Providers (MSPs)

Gli attacchi di supply chain sono una delle tendenze più forti nel panorama del crimine informatico: non solo cresce il loro numero, ma aumenta il grado complessità e sofisticazione di queste minacce. Cisco Talos ha pubblicato un approfondito report di analisi dell’accaduto, fornendo ai propri lettori i dettagli di cosa noto finora.