I primi giorni dei gruppi di hacker e degli autori di minacce solitarie sono molto diversi rispetto a oggi. Sono finiti i giorni degli hacker che si vantavano di essere (relativamente) innocui. Ora gli autori di minacce lavorano come parte di organizzazioni ben oliate, accumulando milioni all’anno compromettendo apertamente le organizzazioni o prestando i loro servizi ad altri avversari meno qualificati.
Parte di una cybersecurity efficace richiede la comprensione di come funzionano queste organizzazioni di criminali informatici. Approfondendo la loro evoluzione, le loro tattiche e la loro struttura, i team di sicurezza restano un passo avanti nella protezione delle loro organizzazioni. Scopriamo le origini e le operazioni di questi moderni sindacati di criminali informatici.
Come si è evoluto il mondo sotterraneo dei criminali informatici
Nei primi tempi, gli hacker erano limitati da ciò che potevano fare fisicamente ai computer, spesso diffondendo virus tramite floppy disk. Questa era ha segnato l’inizio del viaggio di Bitdefender. Inizialmente operante con un nome diverso, l’azienda ha sviluppato una soluzione antivirus interna per proteggere i propri clienti e se stessa. L’efficacia di questo antivirus ha portato a un’elevata domanda, affermando infine Bitdefender come la rinomata azienda di sicurezza informatica che è oggi.
Con il passare del tempo e con il mondo sempre più connesso, gli autori delle minacce hanno creato software dannosi, come trojan, virus, worm e altro, mentre gli editori di antivirus continuavano ad aggiornare e sviluppare la loro soluzione per identificare, rilevare e proteggere da queste ultime minacce. Dal lato aziendale, abbiamo visto ancora aziende prese di mira semplicemente per vantarsi o solo per vedere se un hacker aveva le competenze per compromettere con successo un’azienda.
Nei primi anni 2000, i criminali informatici hanno iniziato ad avere obiettivi più ambiziosi, arruolando dispositivi nelle loro botnet e lanciando attacchi più significativi utilizzando metodi più sofisticati come attacchi APT e DDoS. Negli anni 2010, abbiamo visto emergere gruppi di hacker di stati nazionali e più gruppi di hacker di organizzazioni, con il ransomware che è diventato una delle principali minacce aziendali.
Al giorno d’oggi, il cybercrimine è guidato dal profitto e abbiamo assistito a una trasformazione importante nelle dinamiche dei gruppi di hacker. Sono ben organizzati, sono molto più grandi, hanno una gerarchia che consente loro di lavorare in modo efficiente e sono diventati un’industria a sé stante.
Ciò è stato favorito da alcuni importanti progressi quali:
- Una superficie di attacco digitale più ampia : sono finiti i giorni della dinamica virus/antivirus del gatto e del topo. I gruppi di hacker hanno ora più vie per compromettere un’azienda. Possono attaccare i dipendenti tramite ingegneria sociale o phishing, trovare la strada prendendo di mira un fornitore terzo più debole o trovare la strada tramite credenziali trapelate.
- L’emergere dei marketplace del dark web: l’evoluzione dei marketplace del dark web ha trasformato gli attacchi informatici in una merce, attribuendo letteralmente un prezzo ai dati trapelati e incentivando ulteriormente gli attacchi che portano a violazioni dei dati.
- Le violazioni dei dati generano altre violazioni dei dati: i dati trapelati possono essere acquistati o rubati e poi riutilizzati per attaccare altre organizzazioni con misure di sicurezza poco efficaci o i cui dipendenti riutilizzano le password.
- Piattaforme di comunicazione private: i criminali informatici stanno beneficiando dell’anonimato come mai prima d’ora. L’esplosione di piattaforme di comunicazione crittografate come WhatsApp, Signal e Telegram ha facilitato un’attività più efficiente perché il contenuto della comunicazione è crittografato, rendendo più facile per i gruppi discutere di attacchi, compromessi e piani.
- Criptovaluta: la criptovaluta ha reso molto più facile coprire le proprie tracce, impegnarsi in attacchi ransomware e partecipare al dark web. Si è scoperto che la criptovaluta e gli exchange di criptovaluta vengono utilizzati anche per scopi di riciclaggio di denaro .
- Pagamenti sempre più alti: il cybercrimine è ormai un settore da 1,5 trilioni di dollari all’anno e ogni attacco successivo incentiva ulteriormente gli attori delle minacce motivati dal profitto. Ciò è più evidente quando si esamina il ransomware: i pagamenti sono saliti alle stelle, così come il tasso di pagamento.
Il mondo sotterraneo dei criminali informatici oggi
Le organizzazioni di criminali informatici oggigiorno assomigliano molto a organizzazioni legittime e questo è dovuto in gran parte al fatto che l’ambito del loro lavoro si è ampliato notevolmente. I più grandi gruppi di criminali informatici prestano i loro servizi ad altre organizzazioni, stati nazionali e altri avversari.
Proprio come accade nelle aziende moderne, le organizzazioni dedite alla criminalità informatica variano notevolmente in termini di dimensioni.
- Indipendenti: possono essere singoli individui o piccoli gruppi che si impegnano in attacchi di basso livello e/o non sofisticati. Poiché è improbabile che le forze dell’ordine cerchino e catturino questo attore più piccolo, possono facilmente farla franca con alcuni attacchi all’anno e guadagnare una notevole quantità di denaro.
- Da piccole a medie: si tratta dei gruppi più comuni nel mercato della criminalità informatica e cercano di vendere i propri servizi ad altri attori della minaccia. I gruppi più grandi sono più organizzati, ma in genere impiegano personale a tempo pieno o parziale per gestire i ticket di supporto, i clienti e portare a termine gli ordini di servizio.
- Grandi/imprese: proprio come le aziende moderne, le organizzazioni di criminalità informatica hanno dimensioni molto più grandi. È qui che arrivano gruppi famosi come Conti, REvil, GozNym Gang e MageCart, con il primo che ha realizzato un utile netto di 54 milioni di $ nel 2021. Questi gruppi hanno oltre 50 “dipendenti”, dipartimentali, sono stipendiati e sono persino soggetti a valutazioni delle prestazioni.
I gruppi di hacker spesso realizzano i loro guadagni tramite:
- Vendita di kit di exploit di vulnerabilità note.
- Vendere dati rubati, sia come dump di dati che come risorsa individuale (che può essere utilizzata per furti di identità o attacchi di spear phishing).
- Vendita di malware, ransomware o altri contenuti dannosi.
- Vendere l’accesso a organizzazioni compromesse.
- Vendere l’accesso ai dati rubati.
- Vendendo i propri servizi come un gruppo di hacker.
Quest’ultimo esempio è uno degli sviluppi più recenti ed è quello in cui operano oggi molti dei principali gruppi ransomware.
Oltre alle operazioni ransomware, la criminalità informatica sotterranea ha diversificato le sue tattiche e i suoi servizi. Ecco alcuni dei componenti chiave che guidano le loro attività oggi:
Muli dei soldi
I money mule sono individui che trasferiscono o spostano denaro acquisito illegalmente per conto di altri, spesso come parte di più ampi schemi di riciclaggio di denaro. Questi individui, che possono o meno essere consapevoli del loro coinvolgimento in attività criminali, vengono solitamente reclutati tramite annunci di lavoro, social media o relazioni personali. Una volta reclutati, ricevono fondi rubati o ottenuti illecitamente nei loro conti bancari, prelevano il denaro e poi trasferiscono il denaro su un altro conto, solitamente all’estero, o lo convertono in criptovaluta. Utilizzando i money mule, i criminali possono oscurare la traccia del denaro, rendendo più difficile per le forze dell’ordine rintracciare l’origine dei fondi illeciti e identificare i principali autori. Questa pratica non solo facilita varie forme di reati finanziari, ma espone anche gli stessi money mule a significativi rischi legali, tra cui potenziali accuse di riciclaggio di denaro e frode.
Servizi SPAM e Phishing
I servizi di spam e phishing a pagamento rappresentano una minaccia significativa e crescente nel panorama della criminalità informatica. Questi servizi illeciti, spesso pubblicizzati sui forum del dark web e tramite reti sotterranee, offrono ai criminali gli strumenti e l’infrastruttura necessari per condurre campagne di spam di massa e sofisticati attacchi di phishing. I clienti di questi servizi possono acquistare elenchi di posta elettronica in blocco, accedere a server compromessi per l’invio di spam e utilizzare kit di phishing che creano siti Web ingannevoli che imitano quelli legittimi per rubare informazioni sensibili come credenziali di accesso e dettagli finanziari. Gli operatori dietro questi servizi utilizzano tecniche avanzate per aggirare i filtri antispam ed evitare il rilevamento, consentendo la diffusione diffusa di contenuti dannosi. Esternalizzando le loro operazioni, i criminali informatici possono prendere di mira in modo efficiente un vasto numero di potenziali vittime, causando significative perdite finanziarie e violazioni dei dati personali per individui e organizzazioni.
Proxy per l’assunzione
I proxy a pagamento, in particolare quelli utilizzati per scopi malevoli, sono uno strumento diffuso nell’arsenale dei criminali informatici. Questi proxy spesso utilizzano reti di macchine infette, tra cui personal computer e dispositivi Internet of Things (IoT), per mascherare la vera origine del traffico malevolo. I criminali informatici sfruttano questi dispositivi compromessi per lanciare una serie di attacchi, come attacchi DDoS (distributed denial-of-service), violazioni dei dati e attività fraudolente, rendendo difficile per i sistemi di sicurezza risalire alla fonte delle azioni malevole. Instradando le loro attività attraverso una rete di proxy inconsapevoli, gli aggressori possono eludere il rilevamento, migliorare il loro anonimato e aggirare le restrizioni geografiche. La proliferazione di dispositivi IoT, molti dei quali hanno protocolli di sicurezza deboli, ha notevolmente ampliato il pool di potenziali proxy, complicando ulteriormente gli sforzi per combattere questa pratica malevola.
Scambiatori di criptovalute
Gli exchanger di criptovalute che non sono conformi alle normative Know Your Customer (KYC) svolgono un ruolo significativo nell’economia sommersa, offrendo un rifugio per attività illecite. Queste piattaforme non conformi a KYC consentono agli utenti di acquistare, vendere e scambiare valute digitali senza verificare la propria identità, rendendole attraenti per i criminali che cercano di riciclare denaro, evadere le tasse o finanziare operazioni illegali. L’anonimato offerto da questi exchanger facilita le transazioni che coinvolgono fondi rubati, pagamenti ransomware e commercio illecito sui mercati del dark web. Eludendo la supervisione normativa, queste piattaforme minano gli sforzi per garantire trasparenza e responsabilità nel sistema finanziario, ponendo rischi sostanziali per l’integrità e la sicurezza finanziaria globale.
Servizi di hosting non conformi a KYC
I servizi di hosting non conformi a KYC sono una componente fondamentale nell’infrastruttura delle operazioni dei criminali informatici, fornendo un mantello di anonimato per le attività online illecite. Questi provider di hosting non richiedono ai clienti di verificare la propria identità, il che li rende ideali per ospitare siti Web illegali, server di comando e controllo per malware, siti di phishing e mercati del dark web. La mancanza di conformità KYC consente ai criminali informatici di operare con un rischio minimo di rilevamento, facilitando la distribuzione di malware, la vendita di dati rubati e l’orchestrazione di attacchi informatici. Offrendo soluzioni di hosting non rintracciabili, questi servizi minano gli sforzi globali di sicurezza informatica, consentendo un’ampia gamma di crimini digitali eludendo al contempo le forze dell’ordine e il controllo normativo.
Servizi di deposito a garanzia
I servizi di deposito a garanzia sul darknet svolgono un ruolo cruciale nel facilitare la fiducia e garantire la sicurezza delle transazioni tra i partecipanti ai mercati online illegali. Questi servizi agiscono da intermediari, trattenendo i fondi degli acquirenti fino a quando i beni o i servizi concordati, spesso articoli illegali come droghe, armi o dati rubati, non vengono consegnati e verificati. Riducendo il rischio di frode, i servizi di deposito a garanzia incoraggiano più transazioni e mantengono il flusso del commercio in questi mercati sotterranei. Nonostante il loro scopo previsto di garantire rapporti equi, questi servizi supportano e perpetuano intrinsecamente attività illecite, rendendo difficile per le forze dell’ordine tracciare e intervenire nelle transazioni finanziarie associate alle negoziazioni sul dark web. L’anonimato e la sicurezza offerti da questi servizi di deposito a garanzia contribuiscono alla resilienza e alla persistenza dei mercati darknet.
Gruppi di minacce persistenti avanzate (APT)
I gruppi Advanced Persistent Threat (APT) e le entità di hacking sponsorizzate dallo stato spesso mascherano le loro sofisticate campagne di cyber spionaggio come attacchi ransomware o altre forme di frode informatica per offuscare le loro vere intenzioni ed evitare di essere scoperti. Imitando le tattiche, le tecniche e le procedure dei comuni criminali informatici, questi attori avanzati possono infiltrarsi nelle reti bersaglio, esfiltrare dati sensibili e condurre attività di sorveglianza, inducendo i difensori a credere di avere a che fare con un crimine informatico motivato da interessi finanziari. Questo approccio ingannevole non solo complica l’attribuzione, ma consente anche a questi gruppi di raccogliere informazioni, interrompere le operazioni o manipolare i dati senza destare sospetti immediati. L’uso di tali tattiche di mascheramento sottolinea la complessità e la natura in evoluzione delle minacce informatiche, evidenziando la necessità di misure di sicurezza informatica solide e sfumate per discernere e contrastare efficacemente queste operazioni segrete.
Recenti progressi nel mondo della criminalità informatica sotterranea
Nella nostra ricerca, abbiamo scoperto alcuni modelli allarmanti tra questi gruppi che suggeriscono un coordinamento ancora più organizzato e una volontà impaziente di adattarsi ai nuovi sviluppi recenti e a un panorama in evoluzione. Ecco cosa abbiamo scoperto:
L’emergere delle fabbriche di truffe: a causa degli enormi profitti che queste organizzazioni possono realizzare, hanno fatto ricorso al rapimento e al traffico di persone in paesi come la Thailandia, costringendole a lavorare in fabbriche di truffe e trarne profitto.
Condivisione delle informazioni per evitare di essere scoperti: proprio come i responsabili della sicurezza informatica condividono apertamente informazioni per aumentare la sicurezza ovunque, anche i gruppi di criminalità informatica stanno diffondendo informazioni didattiche e avvisi sulle tattiche delle forze dell’ordine per impedire che altri vengano scoperti.
Utilizzo dell’IA per elevare i truffatori di basso livello: molti gruppi di ransomware vivono e muoiono in base alle risorse dei loro sviluppatori e i programmatori decenti possono utilizzare l’IA per migliorare l’efficienza e diventare più produttivi. Ciò può elevare sia i truffatori di bassa sofisticazione che quelli di media sofisticazione a uno stato avanzato, rendendo l’intero panorama della criminalità informatica ancora più minaccioso. Come minimo, ciò faciliterà ancora più tentativi di truffa, inondando ulteriormente le organizzazioni con attacchi che potrebbero inevitabilmente passare.
Rimanere vigili e protetti
Non esiste una soluzione unica che protegga le organizzazioni da queste organizzazioni ben organizzate. Invece, comprendendo come funzionano, cosa le motiva e come attaccano attivamente le organizzazioni, puoi prendere decisioni più consapevoli mentre sviluppi una strategia completa di resilienza informatica.
Ricorda che, per la maggior parte, questi attori delle minacce cercano ancora di trarre vantaggio da frutti a portata di mano e da organizzazioni con scarse posture di sicurezza. Se fai la tua due diligence per proteggere efficacemente i tuoi dati, gestire i tuoi asset e ridurre al minimo il rischio rappresentato dai tuoi dipendenti, potresti riuscire a evitare di essere preso di mira.
