Naturalmente partiamo parlando del “primo accesso” dell’attacco informatico. Gruppi di ransomware possono ora risparmiare tempo in questa prima fase acquistando l'accesso a reti aziendali, comprese le credenziali di lavoro o la conoscenza di una vulnerabilità in un sistema aziendale. Se si considera che una campagna ransomware di successo può portare oggi ad alti riscatti, spesso doppi ed a volte periodici (soprattutto in Italia dove la mentalità del “pizzo” è già conosciuta ed accettata in certe zone del paese), questo costo diventa irrilevante e permette ai criminali informatici di liberare tempo per colpire più obiettivi.
Parlando di obiettivi preferiti per un attacco ransomware, sui forum del DeepWeb si conferma il desiderio di attaccare grandi aziende americane, ma il trend è in forte crescita anche per il target europeo che sembra essere fornito di minor difese e di una cultura di cyber security ancora non adeguata ai tempi.
Invece, i metodi di accesso preferiti per i ransomware sono rimasti invariati negli ultiimi mesi in quanto portano ancora ottimi frutti: Remote Desktop Protocol (RDP) e Virtual Private Network (VPN) si dimostrano i più popolari. In particolare, l'accesso ai prodotti sviluppati da aziende tra cui Citrix, Palo Alto Networks, VMWare, Cisco e Fortinet.
IIn ogni caso nel DeepWeb si contrattano accessi a pannelli di e-commerce, database non protetti e server Microsoft Exchange (interessanti per i ladri di dati).
Il Ransomware-as-a-Service (RaaS) rappresenta un trend in forte aumento: circa il 40% delle compravendite riguarda i RaaS. I cyber criminali sono disposti a pagare fino a 100.000 dollari per i preziosi servizi di accesso iniziale.
Chiudiamo con una curiosità: traduttori cercasi. Infatti, per evitare i buffi errori grammaticali nelle Business Email Compromise (BEC), il cyber crime recluta anglofoni per evitare di fare scoprire le loro provenienze spesso cinesi, russe o di paesi est-europei vicino alla Russia.
