Secondo IBM X-Force, gli infostealer hanno alimentato la resistenza degli attacchi basati sull'identità, aumentando in media dell'84% su base settimanale lo scorso anno.
IBM X-Force ha osservato una ripartizione identica dei principali metodi utilizzati dai criminali informatici per intrusione nelle reti per due anni consecutivi, come dichiarato dall'azienda nel suo Threat Intelligence Index annuale. I principali vettori di accesso iniziale, le credenziali di account valide e lo sfruttamento di applicazioni pubbliche hanno rappresentato ciascuno il 30% dei casi di risposta agli incidenti di IBM X-Force lo scorso anno.
Concentrandosi sugli attacchi basati sull'identità, i criminali informatici si mimetizzano in attività apparentemente comuni sulle reti delle vittime, eludendo il rilevamento. "Stanno effettuando l'accesso, invece di hackerare", ha dichiarato a CyberScoop Michelle Alvarez, responsabile del team di threat intelligence di IBM X-Force.
Secondo i ricercatori, infostealer, software dannosi ed email di phishing che rubano le credenziali di accesso stanno alimentando la resistenza degli attacchi basati sull'identità. IBM X-Force ha anche descritto il phishing delle credenziali, ovvero i siti dannosi che imitano una pagina di accesso legittima, come un "vettore di infezione ombra per la compromissione di account validi".
I ricercatori di minacce informatiche hanno osservato un aumento medio settimanale dell'84% degli infostealer inviati tramite email di phishing lo scorso anno, rispetto al 2023. Il volume settimanale di infostealer distribuiti via email nel 2025 è ancora maggiore, con un aumento del 180% rispetto ai livelli di attività del 2023.
Le credenziali sono state inoltre l'obiettivo principale in tutti i casi di risposta agli incidenti di IBM X-Force nel 2024, con la raccolta di credenziali avvenuta nel 28% degli incidenti.
I criminali informatici riutilizzano credenziali di account valide contro altre organizzazioni o le vendono sul dark web. "Abbiamo individuato 800 milioni di potenziali coppie di credenziali disponibili sul dark web", ha affermato Alvarez.
"La stragrande maggioranza delle credenziali proviene da infostealer o da phishing di credenziali", ha affermato Alvarez. "Questi due fattori influenzano sicuramente l'utilizzo di credenziali valide per l'accesso."
Secondo IBM X-Force, i primi cinque infostealer elencati nei forum del dark web nel 2024 includono Lumma, RisePro, Vidar, Stealc e RedLine.
Le identità non sono state l'unico punto di accesso per gli attacchi informatici nel 2024. Gli addetti alla risposta agli incidenti di IBM X-Force hanno ricondotto il 30% degli attacchi allo sfruttamento di vulnerabilità in applicazioni pubbliche. I ricercatori hanno osservato la scansione post-compromissione nel 25% di questi casi, a indicare che gli aggressori hanno utilizzato strumenti di scansione delle vulnerabilità per identificare ulteriori difetti, ottenere ulteriore accesso e ottenere un movimento laterale.
"Spesso, gli autori delle minacce sfruttano semplicemente vulnerabilità che sono sostanzialmente prive di patch", ha affermato Alvarez. "Vediamo vulnerabilità risalenti ad anni fa, per le quali era disponibile una patch da molto tempo, ancora sfruttate, quindi tutto si riduce alle migliori pratiche di gestione delle vulnerabilità".
Le organizzazioni che operano nel settore delle infrastrutture critiche sono state particolarmente colpite lo scorso anno, rappresentando il 70% di tutti gli attacchi, come affermato nel rapporto IBM X-Force. Il settore manifatturiero è stato il più colpito per il quarto anno consecutivo, con il 26% degli incidenti nel 2024.
Gli attacchi nel settore finanziario e assicurativo hanno rappresentato il 23% di tutti gli attacchi alle infrastrutture critiche, seguiti dai servizi professionali, aziendali e ai consumatori con il 18%. Energia e trasporti hanno completato i cinque settori più colpiti, rappresentando rispettivamente il 10% e il 7% degli attacchi.
IBM X-Force ha affermato che gli aggressori hanno utilizzato account validi per ottenere l'accesso nel 31% di tutti gli attacchi alle organizzazioni di infrastrutture critiche commessi lo scorso anno.
Nessun commento:
Posta un commento