Se il titolo ti ha fatto pensare al mercato del pesce allora sei sulla giusta strada. Infatti, oggi il “mercato dei ransomware” è diventato tanto diffuso quanto di facile utilizzo per tutti.
Gli attori delle minacce informatiche possono ottenere qualsiasi cosa desiderino per lanciare un attacco ransomware, anche senza competenze tecniche o alcuna esperienza precedente.
Nel Dark Web c’è una vera e propria economia sommersa ed è in piena espansione, fomentata da un settore dei ransomware in continua crescita ed evoluzione grazie soprattutto alle cripto-valute che permettono pagamenti di riscatti non tracciabili. Ad esempio la cripto MONERO è tra le più utilizzate dai criminali informatici e non, insieme a BITCOIN. Il Dark Web ha ora centinaia di fiorenti mercati in cui è possibile ottenere un'ampia varietà di prodotti e servizi ransomware professionali a una varietà di fasce di prezzo.
Da una ricerca di Venafi e Forensic Pathways in cui sono stati analizzati circa 35 milioni di URL nella Dark Web, inclusi forum e mercati, tra novembre 2021 e marzo 2022, sono emerse 475 pagine Web piene di elenchi di ceppi di ransomware, codice sorgente di ransomware, servizi di sviluppo personalizzato e servizi completi di offerte di Ransomware-as-a-Service (RaaS) a tutti gli effetti.
I ricercatori hanno identificato 30 diverse famiglie di ransomware elencate per la vendita sulle pagine e hanno trovato annunci per varianti tristemente noti come DarkSide/BlackCat, Babuk, Egregor e GoldenEye che in precedenza erano state associate a numerosi attacchi a obiettivi di alto profilo.
Ci sono hacker che acquistano il codice sorgente del ransomware per modificarlo e creare le proprie varianti, in modo simile a uno sviluppatore che utilizza una soluzione open source e lo modifica per soddisfare le esigenze della propria azienda.
Il successo degli attacchi rende quel specifico codice sorgente più attraente, perciò un criminale vorrebbe utilizzare quel ceppo come base per lo sviluppo della propria variante di ransomware.
In molti casi gli strumenti e i servizi disponibili attraverso questi mercati, inclusi i tutorial passo-passo, sono progettati per consentire anche agli aggressori con competenze ed esperienza tecniche minime di lanciare attacchi ransomware contro vittime di loro scelta oppure su larga scala come fossero “reti a strascico”: gli attacchi ransomware così diventano alla portata di tutti!
La stragrande maggioranza di malware, exploit e strumenti di attacco viene venduta a meno di 10 dollari, offrendo ai potenziali criminali un punto di accesso rapido.
La ricerca ha rilevato che i ceppi di ransomware possono essere acquistati direttamente sul Dark Web, ma anche che alcuni" fornitori "offrono servizi aggiuntivi come supporto tecnico, tutorials ecc…
Mentre i gruppi di malware più avanzati utilizzano forum privati per scambiare exploit zero-day, le credenziali, gli exploit e gli strumenti disponibili nell'economia sommersa più ampia consentono ai principianti di creare rapidamente un set di strumenti credibile.
Emerge anche qui l’uso crescente tra gli attori di ransomware dei servizi di accesso iniziale, per prendere piede su una rete di destinazione. Ricordiamo che i Broker di Accesso Iniziale (IAB) sono attori delle minacce che vendono l'accesso a una rete precedentemente compromessa ad altri attori del cyber-crime. Gli IAB spopolano nell’economia sotterranea.
L'abuso delle identità delle macchine vedrà anche il ransomware passare dall'infezione dei singoli sistemi all'acquisizione di interi servizi, come un cloud servizio o una rete di dispositivi IoT.
L’aumento del numero di attori delle minacce potrebbe significare che le aziende si troveranno prese di mira ancora più di quanto non lo siano oggi.
Oggi, solo una piccola minoranza di criminali informatici lavora realmente sul proprio codice malware, la maggior parte lo fa utilizzando servizi RaaS e solo per guadagnare soldi facilmente. La barriera all'ingresso è così bassa che quasi chiunque può essere un attore di minacce. Questa è una cattiva notizia per le aziende, soprattutto le PMI poco consapevoli dei rischi e poco strutturate sul lato cybersecurity (ndr: spesso protette solo da un antivirus standard o strumenti obsoleti non in grado di rilevare le vulnerabilità dell’azienda, gli attacchi zero-day e tutti i moderni attacchi informatici che sfruttano la debolezza del “dipendente maldestro” e la debolezza della rete aziendale che permette lateral movement).
Per fare fronte a questi scenari di minacce informatiche che non fanno altro che aumentare la probabilità di essere attaccati, le aziende devono strutturarsi con un approccio e piano accurato di cyber security e un budget dedicato. Come citato dal Prof. Colajanni (docente di cybersecurity in UNIBO) al Zero Trust & Cybersecurity Summit 2022: “La scusa del poco budget non è più utilizzabile dagli imprenditori intelligenti”.
Utilizzare approcci e strumenti moderni che siano veramente in grado di difendere l’azienda dal continuo evolversi degli attacchi come l’approccio ZERO TRUST e che agiscano in maniera preventiva e proattiva.
Un esempio di piano concreto di cybersecurity moderno ed intelligente è il seguente:
1 - Difendere tutti gli end-point (quindi la rete) dall’ingresso di malware/ransomware moderni, evoluti, sconosciuti, anche zero-day. Ciò lo si ottiene con soli 30 secondi per end-point di deploy di DECEPTIVE BYTES, innovativa soluzione brevettata e Made-in-Israel che applica il concetto Zero Trust non fidandosi di nessuno voglia accedere all’end-point, eseguendo operazioni di deception su tutti, monitorando proattivamente per tecniche di “defense evasion”.
2 - Difendere la rete da “lateral movements” per eventuali malware già presenti nella rete. Le soluzioni di questo tipo, come ZERO NETWORKS, implementano su qualsiasi infrastruttura esistente (sia on cloud che on premises):
La micro-segmentazione – inserisce delle porte nella tua infrastruttura per impedire agli aggressori di effettuare dei lateral movement e passare da un qualsiasi end-point “bucato” ai tuoi server e database dove le informazioni più sensibili e riservate sono presenti. Il phishing, infatti, non consiste nell'attaccare un utente specifico, si tratta di entrare in una rete aziendale per spostarsi lateralmente ed evadere eventuali difese, al fine di trovare informazioni sensibili. Purtroppo, molte organizzazioni hanno ancora strumenti di sicurezza obsoleti ed implementano l'opposto di Zero Trust, ovvero donano fiducia implicita a chi è dentro la rete aziendale.
Il controllo dell’identità. Ciò significa garantire che gli utenti siano chi dicono di essere. Conosciuto come autenticazione a più fattori (MFA), è un approccio che funziona.
3 - Utilizzare un Detection & Response Automation con MDR 24/7 per l’Incident Response e la remediation automatica. L’israeliana CYNET questi due benefici unici:
Fornire visibilità completa all'IT-Manager di tutto il suo ambiente in un'unica dashboard: endpoint, rete, utenti e file.
Semplificare la sicurezza informatica aziendale fornendo l'ausilio 24/7 di un world-class SOC-team israeliano.
