Kaspersky: in media 1.700 post con dati aziendali compaiono ogni mese sul dark web

redazione

Negli ultimi due anni il team Kaspersky Digital Footprint Intelligence ha rilevato quasi 40.000 post sul dark web riguardanti la vendita di informazioni aziendali riservate. Questi post, pubblicati dai criminali informatici, sono utilizzati per acquistare, vendere o diffondere dati rubati a varie aziende attraverso cyber attacchi. Il numero di post che offrono l’accesso alle infrastrutture aziendali è aumentato del 16% rispetto all’anno precedente. A livello mondiale, un’azienda su tre è stata citata in post del dark web associati alla vendita dei dati o dell’accesso.

Gli esperti di Kaspersky Digital Footprint Intelligence hanno osservato una media mensile di 1.731 messaggi sul dark web relativi alla vendita, all’acquisto e alla diffusione di database e documenti aziendali interni, per un totale di quasi 40.000 messaggi tra gennaio 2022 e novembre 2023. Le risorse monitorate comprendevano forum del dark web, blog e anche canali shadow di Telegram.

Pubblicazione dei messaggi sul dark web relativi a vendita, acquisto o diffusione di dati aziendali, da gennaio 2022 a novembre 2023.

Un’altra categoria di dati disponibile sul dark web è rappresentata dall’accesso alle infrastrutture aziendali, che consente ai criminali informatici di ottenere un livello di accesso preliminare a determinate aziende, permettendo ai cyber criminali di ottimizzare gli sforzi. Secondo la ricerca Kaspersky, più di 6.000 messaggi sul dark web hanno promosso offerte di questo tipo tra gennaio 2022 e novembre 2023. Attualmente, i criminali informatici offrono sempre più accessi, con un aumento medio mensile dei messaggi pari al 16%, da 246 nel 2022 a 286 nel 2023. Sebbene il numero di messaggi possa non sembrare elevato, ciò non riduce la potenziale portata del problema. Con la minaccia di attacchi alla supply chain che incombe per il prossimo anno, anche le falle che interessano le aziende più piccole potrebbero aggravarsi fino a colpire numerosi individui e aziende a livello globale.

“Non tutti i messaggi sul dark web contengono informazioni nuove e esclusive. Alcune proposte possono essere ricorrenti, ad esempio, quando un criminale informatico vuole vendere rapidamente dei dati, può pubblicarli su diversi forum clandestini per raggiungere un pubblico più ampio di potenziali acquirenti. Inoltre, alcuni database possono essere combinati e presentati come nuovi, esistono delle ‘combolist’, ovvero sistemi che aggregano le informazioni provenienti da vari database precedentemente divulgati, come le password di uno specifico indirizzo e-mail”, ha spiegato Anna Pavlovskaya, Expert di Kaspersky Digital Footprint Intelligence.

Un esempio di offerta “combolist”

Per migliorare ulteriormente la sicurezza delle aziende in tutto il mondo, gli esperti di Kaspersky Digital Footprint Intelligence hanno monitorato le segnalazioni di 700 aziende casuali relative alla compromissione dei dati aziendali nel 2022, fornendo informazioni sulle minacce informatiche provenienti dal dark web.

I risultati hanno rivelato che 233 aziende – una su tre – sono state citate in post del dark web relativi allo scambio illecito di dati. Questi riferimenti riguardavano in particolare argomenti come la violazione dei dati, il furto delle credenziali d’accesso alle infrastrutture o la compromissione degli account[1].

Ulteriori statistiche sulle attività svolte sul dark web sono disponibili su Securelist, mentre il sito web di Kaspersky Digital Footprint Intelligence fornisce un manuale completo di risposta agli incidenti per gestire gli inconvenienti legati ai leak. Per evitare le minacce relative al furto dei dati, vale la pena di implementare le seguenti misure di sicurezza:

Ulteriori statistiche sulle conversazioni nel dark web sono disponibili su Securelist, mentre il sito Kaspersky Digital Footprint Intelligence fornisce un playbook completo per la gestione degli incidenti legati ai data leak. Per evitare le minacce relative al furto dei dati, è importante implementare le seguenti misure di sicurezza:

  • Identificare e rispondere rapidamente alle violazioni dei dati: chi si trova ad affrontare una crisi deve verificare la fonte della violazione, incrociare i dati interni e valutare la credibilità delle informazioni. In sostanza, l’azienda deve raccogliere le prove per confermare che l’attacco è avvenuto e che i dati sono stati compromessi.
  • Monitorare costantemente il dark web per individuare post riguardanti violazioni, sia falsi che reali, e tracciare picchi di attività dannose. Data la natura ad alta intensità delle risorse di monitoraggio del dark web, spesso questa responsabilità viene assunta da esperti esterni.
  • Preparare in anticipo un piano di comunicazione per interagire con clienti, giornalisti e agenzie governative.
  • Sviluppare piani di incident response completi, che includano team, canali di comunicazione e protocolli dedicati, per gestire in modo rapido ed efficace tali incidenti quando si verificano.

[1] Per evitare accessi non autorizzati ai dati o all’infrastruttura delle aziende colpite durante l’analisi i dati compromessi non sono stati verificati in alcun modo.