CISA e FBI hanno pubblicato un avviso di potenziali attacchi informatici che potrebbero verificarsi durante il prossimo fine settimana del Labor Day, rilevando che negli ultimi anni gli hacker hanno lanciato dozzine di attacchi devastanti durante i lunghi fine settimana.
Hanno esortato le organizzazioni ad adottare misure per proteggere i loro sistemi, ridurre la loro esposizione e potenzialmente “impegnarsi nella caccia preventiva delle minacce sulle loro reti per cercare segni di attori delle minacce”.
Eric Goldstein, assistente direttore esecutivo per la sicurezza informatica presso CISA, ha affermato che il ransomware “continua a essere una minaccia per la sicurezza nazionale”, ma ha osservato che le sfide presentate da potenziali attacchi “non sono insormontabili”.
“Con i nostri partner dell'FBI, continuiamo a collaborare quotidianamente per garantire che forniamo consulenze tempestive, utili e attuabili che aiutino i partner dell'industria e del governo di tutte le dimensioni ad adottare strategie di rete difendibili e a rafforzare la loro resilienza”, ha affermato Goldstein. “Tutte le organizzazioni devono continuare a vigilare contro questa minaccia in corso.”
Attacco Kaseya
Attacco alla catena di approvvigionamento ransomware Kaseya: cosa c'è da sapere 1.500 aziende colpite, Kaseya conferma negli Stati Uniti avvia un'indagine mentre la banda richiede un gigantesco pagamento di 70 milioni di dollari Kaseya esorta i clienti a spegnere immediatamente il server VSA
Ha esortato le organizzazioni a non pagare riscatti in caso di attacco ransomware e ha affermato che la CISA o gli uffici locali dell'FBI dovrebbero essere contattati prima che vengano prese decisioni fatto.
La CISA ha osservato che generalmente c'è un aumento degli “attacchi ransomware ad alto impatto” che si verificano nei giorni festivi e nei fine settimana, rilevando il devastante attacco Kaseya che ha avuto luogo il 4 luglio.
CISA ha affermato di non disporre di informazioni specifiche sulle minacce indicando che gli attacchi sono imminenti, ma ha spiegato che gli autori delle minacce sanno che i team IT sono limitati nei fine settimana festivi e ha elencato una serie di attacchi che si sono verificati durante le vacanze quest'anno.
Hanno citato l'attacco del fine settimana della Festa della mamma a maggio da parte del gruppo ransomware DarkSide su Colonial Pipeline e l'attacco del fine settimana del Memorial Day contro il principale produttore di carne JBS da parte del gruppo ransomware Sodinokibi/REvil. REvil ha poi colpito Kaseya il 4 luglio, continuando la tendenza all'attacco delle vacanze.
più copertura
Tutto ciò che devi sapere sull'attacco Ransomware Colonial Pipeline è diventato molto reale. Ed è probabile che peggiori Sopravvivi superando il ragazzo accanto a te DarkSide ha spiegato: La banda dietro l'attacco Colonial Pipeline mira a ripristinare le operazioni entro la fine della settimana Colonial Pipeline ha pagato quasi 5 milioni di dollari in ransomware Colonial Pipeline riavvia le operazioni L'attacco è giusto avviso di inerzia aziendale persistente sulla sicurezza
“L'Internet Crime Complaint Center dell'FBI, che fornisce al pubblico una fonte affidabile per la segnalazione di informazioni sugli incidenti informatici, ha ricevuto 791.790 denunce per tutti i tipi di crimini su Internet – un numero record – dal pubblico americano nel 2020, con perdite segnalate superiori a $ 4,1 miliardi”, afferma l'advisory.
“Ciò rappresenta un aumento del 69% dei reclami totali dal 2019. Anche il numero di incidenti ransomware continua ad aumentare, con 2.474 incidenti segnalati nel 2020, che rappresentano un aumento del 20% del numero di incidenti e un aumento del 225 percento delle richieste di riscatto. Da gennaio al 31 luglio 2021, l'IC3 ha ricevuto 2.084 denunce di ransomware con oltre 16,8 milioni di dollari di perdite, un aumento del 62% delle segnalazioni e un aumento del 20% delle perdite segnalate rispetto allo stesso lasso di tempo nel 2020”.
L'FBI ha aggiunto che nell'ultimo mese gli attacchi più frequentemente segnalati hanno coinvolto gruppi di ransomware come Conti, PYSA, LockBit, RansomEXX/Defray777, Zeppelin e Crysis/Dharma/Phobos.
Secondo l'avviso, altri gruppi di ransomware stanno anche abbinando la crittografia delle risorse IT all'estorsione secondaria di organizzazioni con dati sensibili o proprietari rubati. CISA ha aggiunto che i gruppi ransomware stanno eliminando sempre più i backup e aggiungendo altre tattiche per rendere gli attacchi più devastanti.
I vettori di accesso iniziale più comuni coinvolgono il phishing e la forzatura bruta degli endpoint del protocollo desktop remoto non protetto, secondo CISA. I gruppi di ransomware utilizzano anche malware contagocce, sfruttando le vulnerabilità e sfruttando le credenziali rubate.
A volte, gli autori di ransomware trascorrono settimane all'interno di un sistema prima di lanciare un attacco, in genere nei fine settimana o nei giorni festivi, quindi CISA ha esortato i leader IT a cercare in modo proattivo potenziali punti di accesso nei loro sistemi. Schemi di traffico sospetti e strane posizioni di accesso possono aiutare a informare i team IT del potenziale per un attacco, ha osservato CISA.
I leader IT, come il vicepresidente di ThycoticCentrify Bill O'Neill, hanno affermato che gli attori malintenzionati spesso sanno che i fine settimana lunghi significano che ci sarà una risposta ritardata o una “squadra scheletrica” impreparata che semplicemente non ha le risorse per monitorare e scoraggiare contemporaneamente le minacce abbastanza velocemente.
“Oppure le minacce verranno monitorate, attiveranno avvisi automatici e applicheranno determinati blocchi, ma spesso questi richiedono ancora un'azione umana per la mitigazione e ulteriori controlli di sicurezza”, ha affermato O'Neill.
“E poiché la maggior parte delle organizzazioni preferirebbe che i propri dati vengano rilasciati immediatamente piuttosto che attendere la durata di un fine settimana festivo (e subire continui danni alla reputazione), è anche più probabile che negoziino con gli aggressori e paghino il riscatto richiesto per ridurre al minimo i rischi a lungo termine associati a questi attacchi.”
Il senior manager di Lookout Hank Schless ha aggiunto che gli hacker sanno che le persone potrebbero essere in viaggio e non essere in grado di accedere al proprio computer di lavoro o dispositivo mobile per aiutare a fermare un attacco una volta ricevuto un avviso di attività sospetta.
Gli aggressori sono già diventati molto più avanzati nel modo in cui ottengono l'accesso all'infrastruttura di un'organizzazione, anche quando i team sono completamente dotati di personale e lavorano, ha detto Schless a ZDNet.
Jake Williams, CTO di BreachQuest, ha spiegato che la maggior parte degli attacchi ransomware visti oggi potrebbe essere facilmente scoperta prima della crittografia seguendo le indicazioni di CISA.
“Questo è particolarmente vero per la revisione dei registri. Gli attori delle minacce potrebbero certamente eseguire movimenti laterali rimanendo fuori dai registri, ma con la pletora di potenziali vittime con un'orribile igiene informatica non è attualmente necessario farlo”, Williams ha affermato, aggiungendo che livelli estremamente basilari di igiene e monitoraggio della sicurezza informatica sono sufficienti per ottenere il rilevamento precoce degli odierni avversari del ransomware.
Il vicepresidente di Tripwire, Tim Erlin, ha detto in breve: “Gli aggressori non si prendono i fine settimana liberi, e nemmeno la tua sicurezza informatica”.
Sicurezza
T-Mobile hack: tutto ciò che bisogno di sapere Recensione VPN Surfshark: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Data Management Security TV CXO Data Center 