Trend Micro ha pubblicato oggi una ricerca (The Hacker Infrastructure and Underground Hosting: Services used by criminals) secondo la quale un elevato numero di server on-premise e basati su cloud delle aziende sono compromessi, in quanto utilizzati in modo improprio o affittati come parte di un sofisticato ciclo di vita della monetizzazione criminale. Lo studio evidenzia inoltre come le attività di mining delle criptovalute dovrebbero essere un indicatore di allarme per i team di security.

Sebbene il cryptomining da solo non possa causare interruzioni o perdite finanziarie, il software di mining viene solitamente implementato per monetizzare i server compromessi che rimangono inattivi mentre i criminali tracciano schemi di guadagno più ampi. Questi includono l’esfiltrazione di dati sensibili, la vendita dell’accesso al server per ulteriori abusi o la preparazione per un attacco ransomware mirato. Qualsiasi server compromesso con un cryptominer dovrebbe essere immediatamente bonificato e andrebbe condotta un’indagine immediata per verificare eventuali falle di sicurezza all’interno dell’infrastruttura aziendale.

“Il mercato cybercriminale underground offre una gamma sofisticata di infrastrutture in grado di supportare qualsiasi genere di campagna, dai servizi che garantiscono l’anonimato alla fornitura di nomi dominio, passando per la compromissione di asset” ha affermato Gastone Nencini, Country Manager di Trend Micro Italia.

Seeweb Foundation Server Pro

Lo studio elenca anche i principali servizi di hosting underground disponibili oggi, fornendo dettagli tecnici su come funzionano e su come vengono utilizzati dai cybercriminali. Questo include la descrizione dettagliata del tipico ciclo di vita di un server compromesso, dall’inizio all’attacco finale. I server cloud sono particolarmente esposti perché potrebbero non avere la stessa protezione degli ambienti on-premise. “Asset aziendali legittimi ma compromessi possono essere infiltrati nelle infrastrutture sia on-premise che in cloud. Una buona regola da tenere presente è che qualsiasi asset esposto può essere compromesso”, continua Nencini.

I cybercriminali potrebbero sfruttare vulnerabilità nei software server, compromettere credenziali, sottrarre log-in e inoculare malware attraverso attacchi di phishing. Potrebbero prendere di mira anche i software di infrastructure management, che permetterebbe loro di creare nuove istanze di macchine virtuali o altre risorse. Una volta compromessi, questi asset di server cloud possono essere venduti nei forum underground, nei marketplace e addirittura nei social network, per essere poi utilizzati per diversi tipi di attacchi.

La ricerca Trend Micro approfondisce anche i trend emergenti per quanto riguarda i servizi di infrastrutture underground, incluso l’abuso di servizi di telefonia e satellitari o il computing parassitario «in affitto», inclusi RDP nascosti e VNC.