Indice dei contenuti
- Il panorama delle minacce informatiche sta cambiando
- Web shell: la nuova frontiera del cybercrimine
- Ransomware: un declino temporaneo?
Il panorama delle minacce informatiche sta cambiando
Roma, 18 febbraio 2025 – Il 2024 si è concluso con una tendenza allarmante: gli attacchi alle applicazioni web sono aumentati in modo significativo, mentre le strategie di ransomware e pre-ransomware hanno registrato un leggero calo. Questo è il quadro delineato dall’ultimo report di Cisco Talos, che ha analizzato gli incidenti informatici dell’ultimo trimestre dell’anno.
Secondo gli esperti, il principale fattore di questo cambiamento è stato l’uso crescente delle web shell, sfruttate dai threat actor per compromettere sistemi vulnerabili.
Il 35% degli incidenti ha coinvolto questa tecnica, con attaccanti che hanno colpito applicazioni web non aggiornate o con vulnerabilità note. Il metodo di attacco predominante ora è lo sfruttamento delle applicazioni esposte, superando l’uso di account validi, che aveva caratterizzato i trimestri precedenti.
Web shell: la nuova frontiera del cybercrimine
Le web shell sono strumenti malevoli che consentono agli hacker di mantenere un accesso persistente ai server web vulnerabili, permettendo loro di muoversi lateralmente all’interno di una rete. Il report di Cisco Talos ha individuato diversi esempi di queste tecniche in azione:
- in molte catene di attacco, gli hacker hanno installato la web shell “401.php”, basata sul progetto open-source Neo-regeorg disponibile su GitHub;
- in altri casi, è stato utilizzato il tool Fuzz Faster U Fool per eseguire attacchi brute force sulle applicazioni web, con l’obiettivo di individuare credenziali e directory nascoste.
Nonostante l’adozione di nuove tecniche, i cybercriminali non hanno abbandonato gli strumenti più datati. Ad esempio, è stato documentato un attacco contro un server JBoss vulnerabile, eseguito con uno strumento del 2014 progettato per testare vulnerabilità nelle piattaforme Java.
Sebbene questi strumenti siano spesso resi obsoleti dagli aggiornamenti, molti attacchi hanno ancora successo a causa della mancanza di patch nei sistemi bersaglio.
Il dwell time (il tempo di permanenza degli attaccanti nei sistemi compromessi) è aumentato. Ciò indica una pianificazione più attenta e un uso strategico delle risorse compromesse, aumentando le possibilità di movimenti laterali e il rischio di furto di dati critici.
Ransomware: un declino temporaneo?
Mentre gli attacchi alle applicazioni web sono in crescita, gli incidenti legati ai ransomware e al pre-ransomware sono leggermente diminuiti. Secondo il report, queste minacce hanno rappresentato circa il 30% degli interventi di cyber security nel quarto trimestre, in calo rispetto al 40% del trimestre precedente.
Tra le varianti individuate, Interlock è emerso come un nuovo ransomware, rilevato per la prima volta dai ricercatori di Talos IR, insieme alle ben note famiglie di malware Black Basta e Ransom Hub.
L’analisi forense ha rivelato che il dwell time di questi attacchi variava tra 17 e 44 giorni, dimostrando che i cybercriminali rimangono all’interno dei sistemi compromessi per lunghi periodi prima di lanciare l’attacco definitivo.
Conclusione
L’evoluzione delle minacce informatiche è in continua trasformazione: mentre i ransomware sembrano perdere slancio, gli attacchi alle applicazioni web e l’uso delle web shell stanno diventando una minaccia sempre più diffusa.
Questo sottolinea l’importanza di mantenere i software aggiornati e adottare strategie di cyber security proattive.
