Quando gli hacker vogliono accedere a una rete di destinazione, è molto probabile che lancino un attacco di phishing, sfruttino vulnerabilità del software note o semplicemente si facciano strada con la forza bruta attraverso il protocollo RDP (Remote Desktop Protocol).
Questo è secondo un nuovo rapporto del braccio di sicurezza informatica di Palo Alto Networks, l'Unità 42. Nel suo ultimo documento, la società afferma che questi tre costituiscono più di tre quarti (77%) di tutte le cause sospette di intrusione.
Analizzando più a fondo, l'Unità 42 ha rilevato che più della metà (55%) di tutti gli exploit di vulnerabilità del software riusciti hanno sfruttato ProxyShell (55%), seguito da Log4j (14%), SonicWall (7%), ProxyLogon (5%) e Zoho ManageEngine ADSelfService Più (4%).
Tuttavia, le aziende avrebbero potuto fare molto di più per rimanere al sicuro. Su 600 casi di risposta agli incidenti analizzati dall'Unità 42 per il rapporto, nella metà dei casi le aziende non disponevano dell'autenticazione a più fattori sui sistemi critici con connessione a Internet. Nel frattempo, più di un quarto (28%) disponeva di procedure di gestione delle patch scadenti e il 44% non disponeva di un servizio di protezione degli endpoint.
BEC e ransomware
Una volta ottenuto l'accesso, gli attori delle minacce si impegneranno in attacchi BEC (Business Email Compromesso) o ransomware. L'importo medio rubato tramite BEC è stato di $ 286,000, secondo il rapporto, mentre per il ransomware la domanda media più alta è stata nel settore finanziario a quasi $ 8 milioni.
Una nuova vittima del ransomware ottiene i propri dati pubblicati sui siti di fuga ogni quattro ore, secondo il rapporto. Ecco perché, affermano i ricercatori, identificare in anticipo l'attività ransomware è fondamentale.
Di solito, gli aggressori trascorrono fino a 28 giorni sulla rete di destinazione, identificando gli endpoint (si apre in una nuova scheda) e dati chiave, prima di implementare effettivamente qualsiasi ransomware.
“In questo momento, la criminalità informatica è un affare facile in cui entrare a causa del suo basso costo e spesso di alti rendimenti. Pertanto, gli attori delle minacce inesperti e inesperti possono iniziare con l'accesso a strumenti come l'hacking-as-a-service che stanno diventando più popolari e disponibili sul dark web", ha affermato Wendi Whitmore, SVP e capo dell'Unità 42 di Palo Alto Networks.
"Anche gli aggressori ransomware stanno diventando più organizzati con il loro servizio clienti e i sondaggi sulla soddisfazione mentre interagiscono con i criminali informatici e le organizzazioni vittimizzate".