Cybercrime, la ricetta di HP per fronteggiare gli attacchi

Nel dark web, HP ha trovato kit per lanciare attacchi che il cybercrime vende a 10 dollari e che possono essere usati da chiunque. Ecco come proteggersi.

cybercrime

Oggi il cybercrime dispone di kit per il malware “plug and play”, che rendono particolarmente semplice lanciare attacchi. Questo consente ad aggressori dilettanti di collaborare con le bande di criminali informatici per colpire le aziende, mettendo a rischio tutto il mondo online. Lo dimostrano i risultati ottenuti dallo studio The Evolution of Cybercrime: Why the Dark Web is Supercharging the Threat Landscape and How to Fight Back condotto da HP Wolf Security.

Per realizzare l’indagine, il team di HP Wolf Security ha collaborato con Forensic Pathways, un gruppo di professionisti forensi globali. Insieme hanno scandagliato per tre mesi il dark web, analizzando oltre 35 milioni di marketplace e post di forum per capire come operano i cybercriminali, come ottengono la fiducia e si costruiscono una reputazione.

Attacchi alla portata di tutti

La trasformazione digitale ha offerto armi più potenti a chi si occupa di erigere delle difese, ma anche a chi sferra gli attacchi, evidenziando la crescente popolarità delle offerte as a service – afferma Alex Holland, Senior Malware Analyst dell’HP Wolf Security Team e autore del report –. Questo ha democratizzato l’attività criminale al punto che attacchi complessi, che in passato erano appannaggio soli di gruppi evoluti di hacker perché richiedevano alti livelli di competenze e risorse, ora sono alla portata praticamente di chiunque voglia lanciare una minaccia”.

Questi attacchi sono alla base delle violazioni dei dati che hanno reso disponibili sui mercati del dark web, e acquistabili con somme molto contenute, le credenziali di milioni di persone. Molte delle varianti e degli exploit del malware utilizzati in attacchi ransomware e di data breach costano una decina di dollari. Non sorprende perciò che l’FBI stimi che le perdite dovute alla criminalità informatica solo negli Stati Uniti nel 2021 abbiano raggiunto la sorprendente cifra di 6,9 miliardi di dollari.

Il malware è economico e subito disponibile

Oltre tre quarti (76%) degli annunci di malware elencati e il 91% degli exploit sono venduti per meno di 10 dollari. Il costo medio delle credenziali di Remote Desktop Protocol compromesse è di soli 5 dollari. Gli sviluppatori vendono prodotti in bundle con kit malware plug-and-play, malware-as-a-service, tutorial e servizi di mentoring che riducono la necessità di competenze tecniche e di esperienza per condurre attacchi complessi e mirati. Il risultato è che le minacce create da programmatori avanzati sono meno del 3% del globale.

L’ironia “dell’onore tra i ladri informatici”

Nel mondo della legittima vendita al dettaglio online, fiducia e reputazione sono parti essenziali del successo del commercio. Ironicamente, lo stesso vale per i cybercriminali: il 77% dei mercati analizzati nell’indagine richiede una garanzia del fornitore, una sorta di licenza per vendere che può costare fino a 3.000 dollari. L’85% utilizza pagamenti con deposito di garanzia e il 92% dispone di un servizio di risoluzione delle controversie di terze parti. Ogni marketplace fornisce feedback con punteggi sui fornitori. I cybercriminali cercano anche di stare un passo avanti alle forze dell’ordine trasferendo la reputazione tra i siti web, poiché la durata media di un sito web Tor nel dark net è di soli 55 giorni.

Contraffazione del marchio

Alla ricerca delle porte d’ingresso

I cybercriminali si stanno concentrando sulla ricerca di lacune nel software che gli consentano di ottenere un punto d’appoggio e prendere il controllo dei sistemi sfruttando bug e vulnerabilità noti nei software più diffusi, in particolare in Windows, Microsoft Office, sistemi di gestione dei contenuti Web e server Web e di posta elettronica. I kit capaci di sfruttano le vulnerabilità nei sistemi di nicchia hanno i prezzi più alti (in genere vanno da 1.000 a 4.000 dollari). Gli Zero Days (le vulnerabilità che non sono ancora note pubblicamente) sono venduti sui mercati del dark web a prezzi dell’ordine delle decine di migliaia di dollari.

Il ransomware e la fabbrica del cybercrime

“Al centro di tutto questo c’è il ransomware – aggiunge Holland –, che ha creato un nuovo ecosistema cybercriminale che permette anche ai player più piccoli di avere una fetta dei profitti. Questo sta creando una fabbrica del cybercrime, che sforna attacchi molto difficili da contrastare e che colpiscono aziende su cui tutti facciamo affidamento”. A livello italiano abbiamo avuto prove eclatanti come gli attacchi alle Ferrovie dello Stato o al Sistema Sanitario Nazionale.

I consigli per proteggersi

Per proteggersi dalle minacce attuali e future, il rapporto propone alcuni consigli per le aziende. Ecco i principali.

  • Padroneggiare le basi per ridurre le possibilità del cybercrime: è importante seguire le migliori pratiche, come l’autenticazione a più fattori e la gestione delle patch; ridurre la superficie di attacco nei confronti dei principali vettori come e-mail, navigazione web e download di file; dare priorità all’hardware in grado di auto-aggiornarsi per aumentare la resilienza.
  • Concentrarsi sulla vittoria della partita: si deve essere pronti per il peggio; limitare il rischio rappresentato dai dipendenti e dai partner mettendo in atto processi per verificare la sicurezza dei fornitori ed educare il personale al social engineering; essere orientati ai processi e provare le risposte agli attacchi in modo da poter identificare i problemi, apportare miglioramenti ed essere più preparati.
  • La sicurezza informatica deve un’attività di squadra: bisogna parlare con i propri colleghi per condividere informazioni e intelligence sulle minacce in tempo reale; utilizzare le informazioni sulle minacce ed essere proattivi nell’horizon scanning monitorando le discussioni aperte sui forum underground nel deep e dark web; collaborare con servizi di sicurezza di terze parti per scoprire i punti deboli e i rischi critici che devono essere affrontati.

Digital manufacturing

Pensare prima di cliccare

Tutti noi dobbiamo fare di più per combattere la crescente macchina della criminalità informatica – sostiene Ian Pratt, Global Head of Security for Personal Systems di HP Inc. –. Per i singoli individui, questo significa prendere consapevolezza del cybercrime. La maggior parte degli attacchi inizia con un clic del mouse, quindi è sempre importante pensare prima di cliccare. Ma è ancora più importante dotarsi di una rete di sicurezza acquistando una tecnologia in grado di mitigare e recuperare l’impatto dei clic sbagliati”.

Per le aziende, è importante costruire la resilienza e chiudere il maggior numero possibile della più comuni vie di attacco – conclude Pratt –. Per esempio, i cybercriminali studiano le patch al momento del rilascio per decifrare la vulnerabilità da correggere e creare rapidamente exploit da utilizzare prima che le organizzazioni abbiano applicato le patch. È quindi importante accelerare la gestione delle patch. Molte delle minacce più comuni, come quelle veicolate via e-mail e il web, possono essere completamente neutralizzate attraverso tecniche come il contenimento e l’isolamento delle minacce, riducendo notevolmente la superficie di attacco di un’organizzazione, indipendentemente dal fatto che le vulnerabilità siano patchate o meno”.