Nell’edizione 2024 del Threat Report, Sophos analizza le cyberminacce affrontate dalle PMI lo scorso anno, evidenziando il primato del malware come responsabile del furto di dati e credenziali. Intitolato “Cybercrime on Main Street”, il report evidenzia che il 50% del malware rilevato nel 2023 nel perimetro delle PMI ha riguardato keylogger, spyware e stealer. Ovvero varietà di malware che vengono utilizzate per sottrarre dati e credenziali che gli attaccanti sfruttano successivamente per effettuare accessi non autorizzati, praticare estorsioni, installare ransomware e altro ancora.
Cybercrime – il modus operandi degli IAB
Il report analizza anche i cosiddetti Initial Access Broker (IAB), ovvero criminali specializzati nell’accesso alle reti informatiche. Gli IAB pubblicizzano nel dark web le loro capacità e servizi proponendosi di entrare in reti appartenenti a PMI. O addirittura rivendendo un accesso chiavi in mano a PMI già violate.
Cybercrime – alla base di tutto il valore dei dati
Christopher Budd, director of Sophos X-Ops research di Sophos
Il valore dei dati intesi come moneta di scambio è cresciuto esponenzialmente tra i cybercriminali. E ciò è particolarmente vero per le PMI che per una certa funzione tendono a usare uno specifico servizio o una specifica applicazione software in tutte le loro operazioni. Facciamo l’esempio di un cybercriminale che introduca un infostealer nella rete di una vittima per sottrarne le credenziali e ottenere la password di accesso al software di contabilità dell’azienda.L’autore dell’attacco potrebbe quindi accedere alle funzioni finanziarie dell’azienda stessa e dirottare fondi in un conto da lui controllato. Esiste un motivo per cui oltre il 90% di tutti i cyberattacchi segnalati a Sophos nel 2023 ha riguardato la sottrazione di dati o di credenziali, sia attraverso attacchi ransomware piuttosto che estorsioni, accessi remoti non autorizzati o furti puri e semplici.
In pole position ancora il ransomware
Cybercrime – Per quanto il numero degli attacchi ransomware scatenati contro le PMI si sia stabilizzato, questo particolare problema continua a rappresentare la principale minaccia per le piccole e medie aziende. Tra tutti casi di ransomware riguardanti PMI gestiti da Sophos Incident Response (IR), LockBit è stata la gang che ha colpito di più. Akira e BlackCat sono rispettivamente in seconda e terza posizione. Le PMI analizzate hanno dovuto affrontare anche attacchi da parte di vecchi ransomware meno conosciuti, ma ancora persistenti come BitLocker e Crytox.
Le cyberminacce affrontate dalle PMI
Il report sottolinea anche come le gang dedite al ransomware continuino a modificare le loro tattiche. Ad esempio utilizzando la cifratura remota e colpendo i Managed Service Provider (MSP). Con cifratura remota si intende quando l’attaccante si avvale di un dispositivo non gestito presente sulla rete della vittima per cifrare i file residenti su altri sistemi della stessa rete. Tra il 2022 e il 2023 il numero di attacchi ransomware che hanno sfruttato la cifratura remota è aumentato del 62%. Lo scorso anno, inoltre, il team Sophos Managed Detection and Response (MDR) è intervenuto in 5 casi relativi a piccole aziende attaccate mediante una vulnerabilità del software RMM adottato dai rispettivi MSP.
I criminali sperimentano anche nuovi formati
Come si legge nel report, gli attacchi BEC (Business Email Compromise) sono i più numerosi dopo il ransomware tra quelli gestiti da Sophos IR nel 2023. Gli attacchi BEC e altre campagne di social engineering contengono un crescente livello di sofisticazione. Anziché spedire semplicemente un messaggio email con un allegato pericoloso, chi lancia l’attacco sempre più instaura spesso un dialogo con le vittime inviando una serie di email per allacciare una conversazione o persino chiamarle al telefono.
Le cyberminacce affrontate nel 2023 dalle PMI nel report Sophos
Nel tentativo di aggirare i tradizionali tool antispam, i cybercriminali stanno sperimentando nuovi formati per i loro contenuti. Ad esempio usando immagini che integrano al proprio interno il codice pericoloso o allegandolo nei formati OneNote o di archivio. In un caso gestito da Sophos, gli autori dell’attacco avevano spedito un documento PDF con l’anteprima sfocata e illeggibile di una presunta “fattura”. Il pulsante che avrebbe dovuto permetterne lo scaricamento conteneva invece un link a un sito web pericoloso.
