Trend Micro ha pubblicato una ricerca sulla compromissione dei server e il conseguente guadagno per il cybercrime. Secondo la ricerca un elevato numero di server on-premise e basati su cloud delle aziende sono compromessi, perché utilizzati in modo improprio o affittati come parte di un sofisticato ciclo di vita della monetizzazione criminale.
Il dato emerge dalla seconda parte del report di Trend Micro Research, la divisione di Trend Micro dal titolo “The Hacker Infrastructure and Underground Hosting: Services used by criminals”. Lo studio evidenzia come le attività di mining delle criptovalute dovrebbero essere un indicatore di allarme per i team di security.
Sebbene il cryptomining da solo non possa causare interruzioni o perdite finanziarie, il software di mining viene solitamente implementato per monetizzare i server compromessi. Essi rimangono inattivi mentre i criminali tracciano schemi di guadagno più ampi.
Questi includono l’esfiltrazione di dati sensibili, la vendita dell’accesso al server per ulteriori abusi o la preparazione per un attacco ransomware mirato. Qualsiasi server compromesso con un cryptominer dovrebbe essere immediatamente bonificato e andrebbe condotta un’indagine immediata per verificare eventuali falle di sicurezza all’interno dell’infrastruttura aziendale.
Compromissione dei server
Gastone Nencini, Country Manager di Trend Micro Italia
Il mercato cybercriminale underground offre una gamma sofisticata di infrastrutture in grado di supportare qualsiasi genere di campagna. Dai servizi che garantiscono l’anonimato alla fornitura di nomi dominio, passando per la compromissione di asset. L’obiettivo di Trend Micro è accrescere la consapevolezza e la comprensione dell’infrastruttura cyber criminale per aiutare le Forze dell’Ordine, i clienti e più in generale altri ricercatori a fermare le autostrade del cybercrime e le loro fonti di guadagno.
Lo studio di Trend Micro elenca i principali servizi di hosting underground disponibili oggi, fornendo dettagli tecnici su come funzionano e su come vengono utilizzati dai cybercriminali. Questo include la descrizione dettagliata del tipico ciclo di vita di un server compromesso, dall’inzio all’attacco finale. I server cloud sono particolarmente esposti perchè potrebbero non avere la stessa protezione degli ambienti on-premise.
La ricerca Trend Micro approfondisce anche i trend emergenti per quanto riguarda i servizi di infrastrutture underground, incluso l’abuso di servizi di telefonia e satellitari o il computing parassitario «in affitto», inclusi RDP nascosti e VNC.
Compromissione dei server
Gastone Nencini
Asset aziendali legittimi ma compromessi possono essere infiltrati nelle infrastrutture sia on-premise che in cloud. Una buona regola da tenere presente è che qualsiasi asset esposto può essere compromesso.
I cybercriminali potrebbero sfruttare vulnerabilità nei software server, compromettere credenziali, sottrarre log-in e inoculare malware attraverso attacchi di phishing. Potrebbero prendere di mira anche i software di infrastructure management, che permetterebbe loro di creare nuove istanze di macchine virtuali o altre risorse. Una volta compromessi, questi asset di server cloud possono essere venduti nei forum underground, nei marketplace e nei social network. Possono poi essere utilizzati per diversi tipi di attacchi.