I post apparsi sul dark web, pubblicati dai criminali informatici, sono stati utilizzati per acquistare, vendere o diffondere dati rubati a varie aziende attraverso cyber attacchi. Il numero di post che offrono l’accesso alle infrastrutture aziendali è aumentato del 16% rispetto all’anno precedente. A livello mondiale, un’azienda su tre è stata citata in post del dark web, associati alla vendita dei dati o dell’accesso.
Gli esperti di Kaspersky hanno osservato una media mensile di 1.731 messaggi sul dark web relativi alla vendita, all’acquisto e alla diffusione di database e documenti aziendali interni, per un totale di quasi 40.000 messaggi tra gennaio 2022 e novembre 2023. Le risorse monitorate comprendevano forum del dark web, blog e anche canali shadow di Telegram.
Accessi criminali alle infrastrutture aziendali
Sul dark web è stata scoperta un’altra categoria di dati disponibile, rappresentata dall’accesso alle infrastrutture aziendali, che consente ai criminali informatici di ottenere un livello di accesso preliminare a determinate aziende, permettendo ai cyber criminali di ottimizzare gli sforzi. Secondo la ricerca Kaspersky, più di 6.000 messaggi sul dark web hanno promosso offerte di questo tipo tra gennaio 2022 e novembre 2023. Attualmente, i criminali informatici offrono sempre più accessi, con un aumento medio mensile dei messaggi pari al 16%, da 246 nel 2022 a 286 nel 2023. Con la minaccia di attacchi alla supply chain che incombe per il prossimo anno, anche le falle che interessano le aziende più piccole potrebbero aggravarsi fino a colpire numerosi individui e aziende a livello globale.
“Non tutti i messaggi sul dark web contengono informazioni nuove e esclusive. Alcune proposte possono essere ricorrenti, ad esempio, quando un criminale informatico vuole vendere rapidamente dei dati, può pubblicarli su diversi forum clandestini per raggiungere un pubblico più ampio di potenziali acquirenti. Inoltre, alcuni database possono essere combinati e presentati come nuovi, esistono delle ‘combolist’, ovvero sistemi che aggregano le informazioni provenienti da vari database precedentemente divulgati, come le password di uno specifico indirizzo e-mail”, ha spiegato Anna Pavlovskaya, Expert di Kaspersky Digital Footprint Intelligence.
Un esempio di offerta “combolist”
Kaspersky Digital Footprint Intelligence ha anche monitorato le segnalazioni di 700 aziende casuali relative alla compromissione dei dati aziendali nel 2022, fornendo informazioni sulle minacce informatiche provenienti dal dark web.
I risultati hanno rivelato che 233 aziende – una su tre – sono state citate in post del dark web relativi allo scambio illecito di dati. Questi riferimenti riguardavano in particolare argomenti come la violazione dei dati, il furto delle credenziali d’accesso alle infrastrutture o la compromissione degli account. Ulteriori statistiche sulle attività svolte sul dark web sono disponibili su Securelist, mentre il sito web di Kaspersky Digital Footprint Intelligence fornisce un manuale completo di risposta agli incidenti per gestire gli inconvenienti legati ai leak.
Per evitare le minacce relative al furto dei dati
E’ importante implementare le seguenti misure di sicurezza:
- Identificare e rispondere rapidamente alle violazioni dei dati: chi si trova ad affrontare una crisi deve verificare la fonte della violazione, incrociare i dati interni e valutare la credibilità delle informazioni. In sostanza, l’azienda deve raccogliere le prove per confermare che l’attacco è avvenuto e che i dati sono stati compromessi.
- Monitorare costantemente il dark web per individuare post riguardanti violazioni, sia falsi che reali, e tracciare picchi di attività dannose. Data la natura ad alta intensità delle risorse di monitoraggio del dark web, spesso questa responsabilità viene assunta da esperti esterni.
- Preparare in anticipo un piano di comunicazione per interagire con clienti, giornalisti e agenzie governative.
- Sviluppare piani di incident response completi, che includano team, canali di comunicazione e protocolli dedicati, per gestire in modo rapido ed efficace tali incidenti quando si verificano.
- Per scaricare gratuitamente i white paper che aiutano a proteggere i propri Endpoint nel Cloud, basta premere sul (link).
