Cisco Talos: i principali attacchi informatici dei primi sei mesi nel 2023


23 Ottobre 2023

Una delle principali organizzazioni private d’intelligence dedicate interamente al mondo della cybersecurity, Cisco Talos, ha effettuato un’approfondita analisi riguardante i principali attacchi informatici avvenuti nei primi sei mesi del 2023. Da questo report che approfondiremo mese per mese, è emerso che la maggior parte degli attacchi avevano come obiettivo quello di estorcere denaro alle vittime.

Cisco Talos

L’estorsione è sempre stata lo scopo finale di molti attacchi informatici nel corso degli anni perchè, se l’attacco viene portato a termine in tutti i suoi passaggi, l’estorsione (la richiesta di denaro per evitare la divulgazione di dati o informazioni sensibili oppure per riottenerli dopo un criptaggio dei file) è il metodo più facile per fare soldi in breve tempo. Nei primi sei mesi del 2023 questa tecnica è stata molto più efficace con le aziende, che per evitare di vedere i loro dati sensibili nel dark web e potenzialmente in mano alla concorrenza, hanno pagato ingenti somme richieste senza pensarci troppo.

Oltre alle varie tecniche di cyberattacchi, in questo periodo Cisco Talos ha scoperto una grossa richiesta di “hacker a pagamento”, ovvero delle figure esperte nel settore che offrono in cambio di una quota, i loro servizi illegali. Tra le altre richieste sono apparsi nelle ricerche: gruppi di mercenari informatici, campagne di spionaggio, attacchi alle supply chain e nuovi strumenti sofisticati.

  • Gennaio: nel primo mese dell’anno , il team ha scoperto che le classiche macro dannose sono state rimpiazzate da altri allegati eseguibili dal formato Shell Link (LNK)
  • Febbraio: per questo mese l’attenzione dei cybercriminali è tornata a prendere di mira le criptovalute con il ransomware MortalKombat e la variante GO del malware Laplas Clipper.
  • Marzo: Talos ha rilevato l’aggiornamento, da parte della botnet Prometei, di alcuni moduli della catena di esecuzione, il cui scopo è quello di automatizzare i processi e rendersi invisibile ai metodi di analisi forense.
    • Sempre nel solito mese Cisco Talos ha rilevato gli attacchi mossi da YoroTrooper verso le organizzazioni governative e le organizzazioni del settore energetico in Azerbaigian, Tagikistan, Kirghizistan e in altri Stati del CSI (Commonwealth of Independent States). YoroTrooper ha compromesso anche gli account di almeno due realtà internazionali: un’importante organizzazione sanitaria dell’Unione Europea e l’Organizzazione Mondiale della Proprietà Intellettuale (OMPI). Le informazioni rubate includono le credenziali di diverse applicazioni, informazioni di sistema, cronologia e cookie del browser.
    • In seguito alla scoperta di una vulnerabilità critica di Microsof Outlook, il team di Talos ha consigliato un aggiornamento immediato del programma.
    • Nuove catene di infezione di Emotet che hanno modificato il loro approccio e hanno preso di mira anche OneNote
    • Scoperto un attacco alla catena di distribuzione che ha colpito gli utenti Windows e MacOS che utilizzavano l’applicazione telefonica basata sul software 3CX. Questo attacco ha sfruttato gli aggiornamenti dell’applicazione al fine di somministrare una serie di payload dannosi.
  • Aprile: rilevato nuove funzionalità anti-analysis e anti-virtual machine di Typhon Reborn V2, che rendono ancora più difficile il rilevamento e l’analisi.
    • Rilevati anche attacchi state-sponsored, ossia operazioni offensive condotte da governi o da realtà sponsorizzate che utilizzano risorse e capacità tecniche. Talos ha segnalato un aumento di questo tipo di attacchi altamente sofisticati alle infrastrutture di rete in varie parti del mondo.
  • Maggio: Nel mese di maggio è stato scoperto il phishing-as-a-service (PaaS) “Greatness”, un sistema che utilizza funzionalità avanzate come l’aggiramento dell’autenticazione multifattoriale (MFA), il filtraggio degli indirizzi IP e l’integrazione con i bot di Telegram.
    • Sempre a maggio Talos ha scoperto un nuovo gruppo di criminali informatici chiamato RA Group: una realtà che ha rapidamente ampliato le sue operazioni utilizzando principalmente attacchi di tipo ransomware.
    • L’uso di spyware commerciali è in aumento e i criminali sfruttano questi strumenti sofisticati per sorvegliare un numero di obiettivi sempre più crescente. Talos ha rivelato ulteriori dettagli su uno spyware venduto dall’azienda di spyware Intellexa (precedentemente nota come Cytrox).
    • Nello stesso periodo Cisco Talos ha inoltre notato la distribuzione di un nuovo attacco di tipo botnet chiamato “Horabot“, che distribuisce un trojan bancario e uno strumento di spam.
  • Giugno: Talos ha infine monitorato i tentativi di sfruttamento di una vulnerabilità SQL injection scoperta e utilizzata dagli hacker per attaccare gli utenti che utilizzano MOVEit Transfer, una soluzione per il trasferimento gestito di file (MFT).

Se non avete avuto modo di leggerlo, non perdetevi in questa pagina l’articolo dedicato ai consigli offerti da Cisco Talos per cercare di prevenire gli attacchi informatici che quotidianamente sono pronti a mietere vittime.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *