Site icon Techbusiness

Più web shell e meno ransomware, il report di Cisco Talos

Più web shell e meno ransomware, il report di Cisco Talos thumbnail

La sanità pubblica e privata risulta sotto attacco, con un aumento degli attacchi dei criminali informatici riportato da Cisco Talos, con il suo report trimestrale degli incidenti di sicurezza. Inoltre, emerge un cambiamento dei tipi di attacco, con i web-shell che aumentano mentre i ransomware hanno lieve calo.

Cisco Talos, la sanità nel mirino dei criminali informatici: cresce il web shell

Nel report trimestrale Cisco Talos riporta come, per attaccare un server web, i criminali informatici utilizzino sempre più spesso una web shell. Si tratta di una interfaccia simile a una shell che permette di eseguire comandi remoti sul server tramite un browser web. Il 30% delle minacce informatiche rilevate nel primo trimestre 2023 risulta di questo tipo.

I criminali informatici possono scrivere una web shell in qualsiasi linguaggio supportato dal server. Ma il più usato è PHP. Di solito caricano la web shell su un server web sfruttando una vulnerabilità dell’applicazione web, come l’iniezione SQL o l’inclusione di file remoti.

cisco talos web shell-min

Una volta caricata, la web shell consente all’attaccante di mantenere un accesso persistente e remoto al server, anche se la vulnerabilità viene corretta. Inoltre, possono utilizzare questa risorsa per aumentare i privilegi dell’attaccante, sfruttando le vulnerabilità locali del sistema. In questo modo, l’attaccante può ottenere il controllo totale del server e delle sue risorse. Alcuni esempi di gruppi hacker che usano le web shell sono Vice Society e altri. Le web shell sono molto pericolose per la sicurezza dei server web e delle applicazioni che ospitano.

Il settore sanitario sotto attacco

Come dicevamo, dal Report Trimestrale di Cisco Talos sul primo trimestre del 2023, emerge che quasi il 30% delle minacce informatiche sono state causate da web shell. Questo significa che molti server web sono stati compromessi da attacchi che sfruttano le vulnerabilità delle applicazioni per caricare script dannosi che consentono l’accesso remoto. Gli attacchi ransomware e pre-ransomware, invece, sono diminuiti dal 20% al 10%. Questi attacchi bloccano l’accesso al dispositivo della vittima e richiedono un riscatto per sbloccarlo.

Proteggiti con Bitdefender, Leader in Cybersecurity

Il settore più colpito dalle web shell è stato quello della sanità pubblica e privata, seguito da quello della vendita al dettaglio, del commercio, del settore immobiliare e dell’ospitalità.

Il 45% degli attacchi ha sfruttato le applicazioni usate dagli utenti, un aumento rispetto al 15% del trimestre precedente. Un altro fattore di rischio arriva dalla compromissione di account con password deboli e senza autenticazione a più fattori (MFA). La mancanza di MFA rende più facile per gli hacker accedere e autenticarsi ai servizi critici. Gli hacker hanno anche mostrato la capacità di combinare diversi metodi di accesso e strumenti flessibili e adattabili per distribuire ulteriori malware o rubare informazioni sensibili e private.

Le principali minacce

Talos IR ha inoltre rilevato che il ransomware è diminuito al 10%, ma gli incidenti pre-ransomware sono rimasti alti al 22%. Qakbot ha usato documenti OneNote dannosi per distribuire il malware, sfruttando la disabilitazione delle macro di Office da parte di Microsoft.

Le applicazioni pubbliche sono state il principale punto di ingresso per gli attacchi, con il 30% degli impegni che non avevano MFA o lo avevano solo parzialmente. Le operazioni delle forze dell’ordine hanno interrotto alcune bande di ransomware importanti, ma altre potrebbero emergere o allearsi. I settori sanitari e commerciali sono stati i più colpiti, insieme a quelli immobiliari e alberghieri. Daixin è stato un nuovo ransomware RaaS osservato in questo trimestre.

Potete valutare nel dettaglio il report di Cisco Talos e valutare la crescente minaccia delle web shell qui.

Exit mobile version