Un recente report targato WithSecure evidenzia che l’industria del crimine informatico stia diventando sempre più “professionale” e specializzata nei servizi. Secondo “The Professionalization of Cyber Crime”, il successo delle bande di ransomware ha stimolato infatti una tendenza significativa alla professionalizzazione tra i criminali, con i diversi gruppi che sviluppano servizi specializzati da offrire gli uni agli altri.
Contro il crimine informatico, un comparto molto flessibile
Il ransomware esiste da decenni, ma la minaccia si è continuamente adattata ai miglioramenti delle misure difensive nel corso degli anni. Uno sviluppo degno di nota è l’attuale dominio dei gruppi di ransomware a estorsione multipla. Questi impiegano diverse strategie di estorsione contemporaneamente (di solito sia la crittografia per impedire l’accesso ai dati sia il furto di dati da divulgare pubblicamente) per fare pressione sulle vittime e ottenere pagamenti.
Secondo un’analisi di oltre 3000 fughe di dati da parte di gruppi di ransomware a estorsione multipla, le organizzazioni negli Usa sono state le vittime più comuni di questi attacchi. Seguono Canada, Regno Unito, Germania, Francia e Australia. Complessivamente, le organizzazioni di questi Paesi hanno rappresentato i tre quarti delle fughe di dati incluse nell’analisi.
Le tipologie più colpite
L’industria delle costruzioni sembra essere la più colpita e rappresenta il 19% delle fughe di dati. Le aziende del settore automobilistico, invece, hanno rappresentato solo il 6% circa. Un certo numero di altri settori si è collocato tra i due, a causa della diversa distribuzione delle vittime da parte dei gruppi di ransomware. Con alcune famiglie che hanno preso di mira uno o più settori in modo sproporzionato rispetto ad altri. Sebbene la minaccia del ransomware abbia inflitto un notevole dolore alle organizzazioni di diversi Paesi e settori, il suo impatto trasformativo sul settore della criminalità informatica non può essere sopravvalutato.
Il crimine informatico diventa sempre più “professionale”
In un esempio evidenziato nel rapporto, WithSecure ha indagato su un incidente che coinvolgeva un’unica organizzazione compromessa da 5 diversi threat actor. Ognuno con obiettivi differenti e in rappresentanza di un diverso tipo di servizio di criminalità informatica:
- Il gruppo Monti ransomware.
- Qakbot malware-as-a-service.
- Il gruppo di cryptojacking 8220 Gang (rintracciato anche come Returned Libra).
- Un broker di accesso iniziale (IAB, Initial Access Broker) senza nome.
- Un sottoinsieme di Lazarus Group, una minaccia persistente avanzata associata al Foreign Intelligence and Reconnaissance General Bureau della Corea del Nord.
Cosa comporta questa specializzazione
Secondo il rapporto, questa tendenza alla professionalizzazione rende accessibili le competenze e gli strumenti necessari per attaccare le organizzazioni anche a threat actor meno qualificati o con scarse risorse. Il rapporto prevede che, probabilmente, il numero di attaccanti e le dimensioni del settore della criminalità informatica cresceranno entrambi nei prossimi anni.
Il pagamento dei riscatti
Tim West, Head of Threat Intelligence di WithSecure
Si parla spesso dei danni che gli attacchi ransomware causano alle vittime.
Si presta meno attenzione a come il pagamento dei riscatti fornisca risorse aggiuntive agli attaccanti. Il che ha incoraggiato la tendenza alla professionalizzazione descritta nel rapporto. A breve termine, è probabile che vedremo questo ecosistema in evoluzione modellare le risorse e il tipo di attacchi che i difensori devono affrontare.