Cisco Talos: ecco l’analisi degli attacchi informatici nei primi 6 mesi del 2023 1

Cisco Talos: ecco l’analisi degli attacchi informatici nei primi 6 mesi del 2023

Gli attacchi informatici non accennano a diminuire. Secondo l’analisi sui primi 6 mesi del 2023 realizzata da Cisco Talos, la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity, la maggior parte degli attacchi ha avuto come scopo finale l’estorsione. La tecnica più utilizzata è stata quella di rubare dati sensibili alle aziende, esigendo una forte somma di denaro sotto la minaccia di consegnare quegli stessi dati al dark web. Altro fenomeno in crescita è stato quello degli “hacker a pagamento”, criminali che mettono sul mercato i loro servizi illegali offrendo diversi strumenti di attacco. Non solo. Cisco Talos ha rilevato anche nuove realtà: gruppi di mercenari informatici, campagne di spionaggio, attacchi alla supply chain e nuovi strumenti “as a service”.

Cisco Talos: ecco l’analisi degli attacchi informatici nei primi 6 mesi del 2023 2

Vediamo allora, mese per mese, quali sono state le principali minacce rilevate da Cisco Talos in questa prima metà dell’anno.

01. GENNAIO

La traccia dei metadati nei file LNK

Nel primo mese dell’anno Talos ha notato che i classici metodi di accesso iniziale, come le macro dannose, sono stati sostituti dai criminali con altri tipi di allegati eseguibili, come il formato di file binari Shell Link (file LNK).

02. FEBBRAIO

Il nuovo ransomware MortalKombat e il malware Laplas Clipper

Nel mese di febbraio è stata invece evidenziata l’opera di un criminale non identificato, intento a diffondere due nuove minacce: il ransomware MortalKombat e una variante GO del malware Laplas Clipper. La natura di queste minacce è quella di rubare criptovaluta alle vittime.

03. MARZO

La botnet Prometei mostra nuove funzionalità

A marzo Talos ha invece rilevato l’aggiornamento, da parte della botnet Prometei, di alcuni moduli della catena di esecuzione, il cui scopo è quello di automatizzare i processi e rendersi invisibile ai metodi di analisi forense.

YoroTrooper: la campagna di spionaggio contro i Paesi della CSI, ambasciate e organizzazioni sanitarie dell’Unione europea

Sempre a marzo Talos ha rilevato gli attacchi mossi da YoroTrooper verso le organizzazioni governative e le organizzazioni del settore energetico in Azerbaigian, Tagikistan, Kirghizistan e in altri Stati del CSI (Commonwealth of Independent States). YoroTrooper ha compromesso anche gli account di almeno due realtà internazionali: un’importante organizzazione sanitaria dell’Unione Europea e l’Organizzazione Mondiale della Proprietà Intellettuale (OMPI). Le informazioni rubate includono le credenziali di diverse applicazioni, informazioni di sistema, cronologia e cookie del browser.

Vulnerabilità di Microsoft Outlook utilizzata per l’escalation dei privilegi

Nello stesso periodo Talos ha esortato tutti gli utenti ad aggiornare Microsoft Outlook dopo la scoperta di una vulnerabilità critica, CVE-2023-23397, nel client di posta elettronica.

Emotet continua le operazioni di spamming e prende di mira anche OneNote

Rilevate anche delle nuove catene di infezioni di Emotet, che sta modificando il proprio approccio in base al successo degli attacchi contro nuovi sistemi.

Compromissione della supply chain del softphone 3CX

E’ stato infine reso noto un attacco alla catena di distribuzione che ha colpito gli utenti Windows e MacOS che utilizzavano l’applicazione telefonica basata sul software 3CX. Questo attacco ha sfruttato gli aggiornamenti dell’applicazione al fine di somministrare una serie di payload dannosi.

04. APRILE

Typhon Reborn V2: la nuova versione dello stealer di informazioni

Ad aprile Talos ha invece rilevato nuove funzionalità anti-analysis e anti-virtual machine di Typhon Reborn V2, che rendono ancora più difficile il rilevamento e l’analisi.

Nuovi attacchi state-sponsored contro l’infrastruttura di rete globale

Rilevati anche attacchi state-sponsored, ossia operazioni offensive condotte da governi o da realtà sponsorizzate che utilizzano risorse e capacità tecniche. Talos ha segnalato un aumento di questo tipo di attacchi altamente sofisticati alle infrastrutture di rete in varie parti del mondo.

05. MAGGIO

Greatness: il nuovo “phishing-as-a-service”
Nel mese di maggio è stato scoperto il phishing-as-a-service (PaaS) “Greatness”, un sistema che utilizza funzionalità avanzate come l’aggiramento dell’autenticazione multifattoriale (MFA), il filtraggio degli indirizzi IP e l’integrazione con i bot di Telegram.

Gli hacker del gruppo RA prendono di mira aziende negli Stati Uniti e in Corea del Sud

Sempre a maggio Talos ha scoperto un nuovo gruppo di criminali informatici chiamato RA Group: una realtà che ha rapidamente ampliato le sue operazioni utilizzando principalmente attacchi di tipo ransomware.

Il caos dei mercenari: lo spyware PREDATOR di Intellexa

L’uso di spyware commerciali è in aumento e i criminali sfruttano questi strumenti sofisticati per sorvegliare un numero di obiettivi sempre più crescente. Talos ha rivelato ulteriori dettagli su uno spyware venduto dall’azienda di spyware Intellexa (precedentemente nota come Cytrox).

Horabot prende di mira le Americhe

Nello stesso periodo Talos ha inoltre notato la distribuzione di un nuovo attacco di tipo botnet chiamato “Horabot”, che distribuisce un trojan bancario e uno strumento di spam.

06. GIUGNO

Sfruttamento della vulnerabilità di MOVEIt Transfer da parte del gruppo ransomware Clop

Nell’ultimo mese relativo alla sua analisi, Talos ha infine monitorato i tentativi di sfruttamento di una vulnerabilità SQL injection scoperta e utilizzata dagli hacker per attaccare gli utenti che utilizzano MOVEit Transfer, una soluzione per il trasferimento gestito di file (MFT).

Per maggiori informazioni: https://talosintelligence.com/

A proposito di Cisco

Cisco (NASDAQ: CSCO) è il leader tecnologico mondiale che connette tutto in modo sicuro per rendere tutto possibile. Il nostro obiettivo è quello di creare un futuro inclusivo per tutti, aiutando i nostri clienti a reimmaginare le loro applicazioni, ad alimentare il lavoro ibrido, a proteggere le loro aziende, a trasformare le loro infrastrutture e a raggiungere i loro obiettivi di sostenibilità. Scopri di più sulla sezione italiana di EMEA Network e seguici su Twitter @CiscoItalia. Digitaliani: l’impegno Cisco per la Digitalizzazione del Paese.

Cisco e il logo Cisco sono marchi o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in altri Paesi. Un elenco dei marchi Cisco è disponibile all’indirizzo www.cisco.com/go/trademarks. I marchi di terze parti citati appartengono ai rispettivi proprietari. L’uso del termine partner non implica un rapporto di partnership tra Cisco e altre aziende.

Translate »