Siamo ormai a un punto in cui i cybercriminali si sono affermati come attività organizzate e illecite piuttosto che come un’operazione di hacking da parte di una sola persona. Sono emersi infatti sempre più gruppi di ransomware e quelli esistenti continuano a prosperare in termini di successo, con violazioni ai danni di organizzazioni importanti che crescono a un ritmo a dir poco preoccupante.

Il crescente successo delle cosiddette “ransomware gang”, gruppi di estorsioni e attacchi DDoS non è affatto casuale. Dietro un nome di fantasia c’è una struttura organizzata che comprende attori delle minacce a diversi livelli che lavorano in sincronia per raggiungere l’obiettivo finale.

Sullo sfondo (ben poco edificante) di attacchi informatici in continua evoluzione che impiegano tattiche e tecniche sempre più recenti e sofisticate, abbiamo voluto stilare un identikit dei principali gruppi di cybercriminali e dei loro ruoli.

Initial Access Broker (IAB)

Gli Initial Access Broker (IAB) vendono l’accesso alle reti aziendali a un acquirente disposto a pagare (anche profumatamente). Questo viene fatto attraverso veri e propri marketplace di violazione dei dati, forum o canali di app di messaggistica chiusi e gruppi di chat. Gli IAB, tuttavia, non eseguono necessariamente successive attività dannose come l’esfiltrazione, la crittografia e l’eliminazione dei dati. Spetta all’acquirente decidere come intende sfruttare questo accesso, se cioè rubare segreti commerciali, distribuire ransomware, installare spyware o divulgare i dati esfiltrati.

“In passato, gli Initial Access Broker erano utilizzati principalmente per vendere l’accesso aziendale a criminali che intendevano distruggere i dati di un’azienda o rubarne IP o dati finanziari” afferma Ben Richardson, ingegnere software senior presso Cloud RADIUS, un provider di autenticazione per il cloud senza password. “All’epoca non erano così richiesti, principalmente perché il volume degli attacchi era basso. Normalmente venivano assunti da concorrenti commerciali per spionaggio e furto”.

Richardson afferma che l’era del ransomware ha causato un “aumento esponenziale” nella domanda di IAB. Questi broker ora trovano nuovi affari attraverso bande di ransomware, che li assumono per compromettere le aziende target.

X-as-a-service

Nel contesto attuale, il termine x-as-a-service indica spesso piattaforme ransomware as a service (RaaS) o malware as a service (MaaS) che costituiscono un modello di business relativamente nuovo. Proprio come il modello SaaS (software-as-a-service), RaaS è un metodo per fornire strumenti ransomware e kit di phishing a pagamento agli “affiliati” che cercano di portare avanti attacchi informatici.

“Con x-as-a-service questi provider possono rimanere legalmente al sicuro poiché, in quanto fornitori, non sono responsabili di come viene utilizzato il loro servizio” afferma Logan Gilbert, global solutions architect di Deep Instinct. Essendo fornitori di servizi, questi gruppi guadagnano indipendentemente dal successo degli attacchi dei clienti. “Sono fornitori di servizi a tutti gli effetti e realizzare valore operativo dipende dai loro clienti.”

In passato, per condurre un’operazione di attacco su vasta scala servivano hacker esperti, ma i modelli x-as-a-service hanno allentato (e non di poco) tali barriere all’ingresso. “Inizialmente, i criminali informatici erano hacker esperti che generalmente conducevano operazioni su vasta scala da soli” afferma David Kuder, analista senior di CriticalStart.

“Tutto ciò era però molto dispendioso in termini di risorse e comportava molti rischi. Negli ultimi anni, i criminali informatici hanno preso di mira le grandi organizzazioni ottenendo enormi profitti. Quando questa strategia ha iniziato a prendere piede, più criminali si sono spostati nello spazio x-as-a-service alla ricerca di initial access broker, ransomware-as-a-service e malware-as-a-service. L’avvento del modello x-as-a-service ha così consentito ai criminali informatici di essere esperti in un solo ambito e di sfruttare al contempo le competenze degli altri gruppi”.

vulnerabilità di Log4j

Ransomware affiliates

I ransomware affiliates possono essere visti come “appaltatori” versatili assunti da gruppi di ransomware per svolgere attività operative, che vanno dall’acquisto dell’accesso iniziale alle reti tramite IAB fino al procurarsi credenziali rubate e dump di dati (che potrebbero aiutare nella ricognizione) e all’esecuzione dell’attacco.

Dopo aver eseguito con successo un attacco e un’estorsione, i ransomware affiliates guadagnano una commissione dall’importo del riscatto pagato dalla vittima colpita dal ransomware. Per accelerare i loro attacchi, i ransomware affiliates possono noleggiare piattaforme RaaS per crittografare i file e utilizzare in modo intensivo tutti gli strumenti, i servizi e gli exploit esistenti a loro discrezione.

“Con una tariffa relativamente bassa, i ransomware affiliates ottengono l’accesso piuttosto facilmente a un prodotto e servizio e possono quindi concentrarsi sugli aspetti operativi dell’estorsione di un’organizzazione, piuttosto che su tutto il processo che vi sta dietro”, afferma Gilbert.

Sviluppatori di malware ed exploit

Questa classe di attori delle minacce crea exploit per vulnerabilità note o zero-day che vanno oltre i semplici esercizi di proof-of-concept (PoC). Questi attori possono anche sviluppare malware che racchiudono al loro interno exploit per molteplici vulnerabilità come abbiamo visto con Gitpaste-12, che racchiude da 12 a oltre 30 exploit.

Molti attacchi ransomware possono iniziare con l’implementazione di codice da parte degli aggressori per prendere di mira i dispositivi di accesso, le applicazioni, le VPN e i singoli componenti software più diffusi, come Log4j, integrati nelle applicazioni.

“In passato, gli sviluppatori di malware e exploit potevano variare da “script kiddies” a hacker molto esperti, ma nel tempo, con l’aumento della collaborazione tra gli attori delle minacce, gran parte dello sviluppo di malware sofisticato avviene all’interno dei team di sviluppo, con cicli di vita e documentazione di sviluppo software come ci si aspetterebbe di vedere in un’azienda di software legittima”, continua Gilbert.

L’opinione di Gilbert è ulteriormente corroborata da recenti fughe di notizie che puntano i riflettori sul funzionamento interno dei gruppi di ransomware. L’anno scorso, un affiliato scontento appartenente alla gang Conti (Ryuk) ha fatto trapelare i dati proprietari del gruppo, inclusi strumenti di pen-test, manuali scritti in russo, materiale di formazione e documenti che sarebbero stati forniti agli affiliati del gruppo ransomware.

L’aumento dell’utilizzo delle criptovalute e la loro adozione mainstream hanno inoltre dato vita a una classe “di nicchia” di sviluppatori di exploit. Gli sviluppatori esperti in crittografia con una comprensione avanzata dei protocolli blockchain possono infatti sfruttare vulnerabilità zero-day e non patchate prima che queste vengano corrette. La pratica è diventata dilagante ed evidente con i più eclatanti hack di criptovaluta.

A febbraio, il furto di criptovalute di Wormhole per un valore 326 milioni di dollari è derivato da una vulnerabilità senza patch rivelata dal GitHub del progetto e visibile a chiunque. Poly Network ha subito il “più grande hack DeFi” l’anno scorso con un furto di criptovalute da 611 milioni di dollari da parte di un presunto hacker white hat che voleva far luce sulle vulnerabilità della sicurezza nella piattaforma. L’hacking da 34 milioni di dollari di quest’anno su Crypto.com è un altro esempio di sviluppatori di exploit di nicchia che stanno emergendo sempre più spesso.

Gruppi di minaccia persistente avanzata (APT)

Il termine minaccia persistente avanzata (APT) ha tradizionalmente descritto gli attori delle minacce degli stati-nazione o i gruppi di cybercrminali sostenuti da uno stato con un obiettivo specifico: sabotaggio o spionaggio politico per un lungo periodo di tempo, se non semplicemente un guadagno finanziario. Ora, le tattiche utilizzate dai gruppi APT vengono adottate anche da attori di minacce non affiliati.

I gruppi APT utilizzano spesso malware personalizzato con ampie capacità di sorveglianza e invisibilità. Uno degli attacchi APT più noti di tutti i tempi è l’incidente di Stuxnet, che ha sfruttato più vulnerabilità zero-day di Windows dell’epoca per infettare i computer, diffondersi e causare danni reali alle centrifughe delle centrali nucleari. Si ritiene che questo worm informatico estremamente sofisticato sia stato creato da agenzie di intelligence statunitensi e israeliane.

Un esempio più recente di attacco APT che prende di mira i sistemi di controllo industriale è il malware TRITON. Scoperto nel 2017, TRITON è stato scoperto dopo che aveva colpito un impianto petrolchimico dell’Arabia Saudita con il possibile obiettivo di provocare un’esplosione. Fortunatamente, un bug nel codice del malware ha attivato l’arresto di emergenza dei sistemi critici e ha sventato il peggio.

Tuttavia, i gruppi APT non si limitano allo sfruttamento di sole apparecchiature fisiche e la maggior parte delle campagne APT impiega attacchi di spear-phishing per infiltrarsi nella rete, propagare silenziosamente il carico utile, esfiltrare dati, impiantare backdoor persistenti e condurre sorveglianza segreta sulle loro vittime.

“I gruppi APT sono passati dall’essere miopi nei loro obiettivi e obiettivi a essere più furtivi e strategici” afferma John Fung, direttore delle operazioni di sicurezza informatica presso MorganFranklin Consulting. Fung fa anche notare le preoccupanti tendenze odierne dei gruppi APT, che si spostano sempre più spesso per compromettere il software e il codice sorgente a monte, come abbiamo visto con l’attacco alla supply chain di SolarWinds, che alla fine è stato attribuito a hacker sostenuti dalla Russia. “Vedo questo come un evento ad alto impatto e bassa frequenza da cui le organizzazioni devono difendersi in modi diversi in base al profilo di rischio e alla loro tolleranza”, ha affermato Fung.

Credit immagine: Depositphotos.

Credit immagine: Depositphotos.

Data e information broker

I termini “data broker” o “information broker” (IB) si riferiscono sia a una classe legittima di fornitori di servizi, sia ad attori illeciti. Ad esempio, gli IB legittimi e i servizi di aggregazione dei dati possono acquisire dati da fonti pubbliche come atti giudiziari, registri immobiliari e registri di vendita di proprietà, profili di social media, elenchi telefonici e atti di matrimonio per raccogliere informazioni su persone e aziende. Tali informazioni possono quindi essere legalmente condivise a pagamento con esperti di marketing, ricercatori e aziende.

I data broker illegittimi si impegnano invece in pratiche illegali come la vendita di materiali compromessi e dump di dati riservati sul dark web e sui marketplace di violazione dei dati. In effetti, Kuder collega la pratica dell’intermediazione di dati alla catena IAB, in quello che può essere descritto come un accordo di affiliazione unico.

“Questi gruppi APT/RaaS forniscono supporto, accesso al portale, abbonamenti mensili ai propri clienti e spesso si affiliano con i clienti stessi. In tali accordi di affiliazione, i gruppi RaaS prendono una percentuale dei profitti che qualsiasi affiliato guadagna da un attacco ransomware. Oltre ai dati sensibili, molti di questi gruppi compromettono anche le informazioni sui dipendenti/clienti delle organizzazioni a cui si rivolgono. Le informazioni sensibili vengono poi esfiltrate e pubblicate su uno dei tanti siti del dark web. Questi dati possono includere informazioni sulla carta di credito, cronologia degli acquisti e credenziali dell’account e vengono venduti insieme ad altre offerte”, afferma Kuder.

Criminalità clandestina

“Sebbene il panorama della criminalità informatica potesse essere molto più semplice da decifrare anni fa, i diversi ruoli chiave assunti oggi dai cybercriminali (dagli IAB ai fornitori as-a-service) si sono evoluti dalla semplice opportunità di monetizzare fasi specifiche della catena di attacco” afferma Drew Schmitt, analista di intelligence sulle minacce di GuidePoint Security.

In precedenza gli aggressori eseguivano un intero attacco in modo indipendente, attività che richiedeva spesso tempo e non garantiva risultati di successo. Individui e gruppi hanno presto trovato la loro nicchia nel tempo e “si sono resi conto che potevano aumentare esponenzialmente i propri profitti vendendo una parte della catena di attacco o vendendo lo stesso malware (con configurazioni diverse) a un gruppo più ampio di acquirenti. Grazie a questo modello sono stati in grado di fare più soldi facendo sostanzialmente meno lavoro”.

Quando diversi gruppi hanno assunto ruoli principali nella criminalità clandestina, è emerso un ambiente commerciale competitivo che ha portato alla creazione di gruppi concorrenti e a una serie di mercati naturali. “Man mano che questi mercati sono diventati più solidi, l’asticella di ingresso per eseguire con successo attacchi informatici si è abbassata notevolmente, permettendo anche ai meno esperti in materia di hacking di condurre le proprie operazioni criminali”, conclude Schmitt.