In un recente report, Sophos ha evidenziato trend e modalità che riguardano le gare clandestine, organizzate dai forum cybercriminali e dedicate a nuovi attacchi e all’aggiramento dei rilevamenti. Queste competizioni, ispirate alle Call for Papers delle conferenze promosse dagli operatori della sicurezza, assegnano premi in denaro, riconoscimenti e anche potenziali incarichi lavorativi. Come sottolineato nel report Sophos X-Ops “For the Win? Offensive Research Contests on Criminal Forums”, queste gare clandestine sono ideate per identificare tecniche di attacco innovative. Mentre l’analisi dei lavori presentati fornisce indicazioni sul modo in cui i cybercriminali tentano di superare gli ostacoli posti a protezione delle loro vittime.
Mancanza di trasparenza tra i nuovi trend dei cybercriminali
Nonostante i forum criminali organizzino gare di questo genere da lungo tempo, esse si sono evolute negli anni. Le prime edizioni riguardavano quiz, concorsi di design grafico e indovinelli. Oggi invece i partecipanti vengono invitati a sottoporre articoli su argomenti tecnici completi di codice sorgente, video e/o schermate. Una volta pubblicati, gli articoli vengono votati dagli utenti dei forum per proclamare il vincitore. Il processo non è tuttavia completamente trasparente dal momento che sia i gestori dei forum che gli sponsor delle competizioni hanno poteri di voto aggiuntivi.
Uno strumento di recruiting per criminali
Christopher Budd, Director of Threat Research di Sophos
Il fatto che i cybercriminali organizzino queste competizioni, vi partecipino e persino le sponsorizzino suggerisce che i progressi di tattiche e tecniche rappresentino un obiettivo comunitario. Vi sono persino prove che indicano come queste gare funzionino anche da strumento di recruiting per i principali gruppi organizzati. Per quanto le nostre indagini mostrino una crescente attenzione nei confronti delle tematiche Web-3 come criptovalute, smart contract e NFT, molti dei lavori premiati hanno un campo di applicazione più ampio. Inoltre i lavori possono essere utilizzati nella pratica anche se non sono particolarmente originali. Ciò può essere una conseguenza delle priorità della community, ma anche un’indicazione di come i cybercriminali conservino le ricerche più efficaci per sé. Perché possono guadagnarci di più mettendole a frutto nel contesto di attacchi effettivi.
I nuovi trend dei cybercriminali
Sophos X-Ops ha analizzato due importanti competizioni annuali. La prima organizzata dal forum in lingua russa Exploit, con un premio di 80.000 dollari per il vincitore dell’edizione 2021 La seconda promossa dal forum XSS e con un montepremi 2022 di 40.000 dollari. Famosi esponenti della community cybercriminale come All World Cards e Lockbit sono soliti sponsorizzare queste iniziative da diversi anni. Nelle edizioni più recenti, Exploit ha dedicato la competizione alle criptovalute.
I premiati
XSS ha invece aperto a una ampia gamma di tematiche comprendenti social engineering, vettori di attacco, tecniche di evasione e truffe. Molti dei lavori premiati hanno riguardato l’abuso di tool legittimi come Cobalt Strike. Tra i lavori presentati si sono visti un tutorial dedicato alle ICO (Initial Coin Offering) per la raccolta di fondi destinati a criptovalute di nuova creazione e un articolo sulla manipolazione dei privilege token per disabilitare Windows Defender.