Facilitatori di cybercrime

I facilitatori del cybercrime

Gli intermediari di accesso a internet, anche noti come intermediari di violazione, vendono l'accesso non autorizzato alla rete a cyber attaccanti, che lo utilizzano per entrare in una rete target e lanciare i loro attacchi. ¶ Credito: Security Magazine

Prova a pensare agli [Intermediari di accesso iniziale (IAB)](https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/initial-access-broker#:~:text=An%20Initial%20Access%20Broker%20(IAB,groups%20and%20other%20bad%20actors.) come criminali che vendono le chiavi di casa ai ladri. Gli IAB, o intermediari di violazione, vendono l’accesso non autorizzato alla rete a cyber attaccanti, che lo utilizzano per entrare in una rete target e lanciare i loro attacchi.

Secondo una fonte anonima presso il Federal Bureau of Investigation (FBI) degli Stati Uniti, gli attaccanti si affidano agli IAB per agevolare azioni illecite, tra cui la frode via email aziendale (BEC), l’inganno agli anziani, il ransomware e le truffe sentimentali e di supporto tecnico.

Nel 2021, Kela Cyber Threat Intelligence ha scoperto che quasi 300 IAB avevano pubblicato più di 1.300 elenchi di accesso non autorizzato alla rete in vendita su forum di cybercrime, secondo un blog di Kela.

Secondo Michael Nizich, professore associato di informatica presso il New York Institute of Technology (NYIT), gli IAB sono i primi a identificare le vulnerabilità e a ottenere accesso in modi di cui gli altri non sono a conoscenza. Vendono l’accesso a sistemi di aziende pubbliche di alto profilo al miglior offerente, ha dichiarato.

Gli attaccanti informatici che non sono gli IAB possono svolgere il ruolo di un IAB, se ne viene data loro l’opportunità. Secondo Nizich, i gruppi ransomware che scoprono un nuovo modo per entrare in un’organizzazione ma non vogliono utilizzarlo, vendono quell’accesso.

L’accesso non autorizzato vendibile include credenziali violate, come le password del Protocollo Desktop Remoto (RDP) e della Rete Privata Virtuale (VPN). Secondo Kurt Seifried, direttore dei progetti speciali per la Cloud Security Alliance, gli IAB utilizzano il phishing e altri metodi per raccogliere credenziali, al fine di ottenere l’accesso. “Il tentativo brute force di indovinare la password funziona ancora per raccogliere credenziali, ma non dovrebbe. Dovremmo utilizzare gestori di password e passkeys o andare oltre le password,” ha detto Seifried.

Le credenziali RDP sono popolari tra gli IAB perché ce ne sono così tante. La pandemia di COVID ha costretto molti a lavorare da casa, il che ha innescato un aumento senza precedenti degli account RDP. Di conseguenza, maggiore è il bottino di credenziali rubate, maggiore è il loro guadagno.

IAB si occupano di impronte digitali dei dispositivi, cookie del browser e vulnerabilità di Esecuzione Remota di Codice (RCE), tutto ciò che gli attaccanti possono utilizzare per penetrare in una rete target. Secondo Seifried, RCE è un modo per ottenere accesso al dispositivo di un utente tramite una falla nel loro browser Web. Secondo SC Media, Google ha corretto una vulnerabilità RCE nel suo browser Web Chrome a febbraio.

Secondo Keith Jarvis, ricercatore senior in sicurezza presso l’azienda di sicurezza informatica Secureworks, il gruppo di hacking LAPSUS$ frequentava mercati del web oscuro come il Genesis Market. Il gruppo acquistava cookie dal mercato per accedere alle reti aziendali. Secondo Forbes, il gruppo di hacking LAPSUS$, composto principalmente da adolescenti, è noto per attacchi di alto profilo a scopo governativo e aziendale e per l’uso di tecniche sofisticate di crittografia e malware.

Nel maggio 2023, il gruppo di ransomware Black Basta ha infettato ABB Group, secondo BleepingComputer. ABB, un’azienda di robotica e automazione dei processi, è una delle vittime più importanti degli attacchi di ransomware di Black Basta.

Black Basta e altri gruppi di ransomware hanno utilizzato il malware Qbot e una botnet per ottenere l’accesso iniziale, secondo BleepingComputer. Secondo un comunicato dell’ Europol, un gruppo di criminali organizzati operava il Qbot, noto anche come Qakbot.

Secondo un comunicato stampa del Dipartimento di Giustizia degli Stati Uniti, nell’aprile 2023, il dipartimento ha chiuso il mercato oscuro del web Genesis Market, che vendeva impronte digitali dei dispositivi, inclusi identificatori del dispositivo e cookie del browser, per accedere agli account degli utenti sui siti web.

Secondo una fonte anonima dell’FBI, l’FBI prende di mira gli IAB, come il Genesis Market e il Qakbot. Questo targeting dimostra l’importanza che l’FBI attribuisce agli IAB nell’indagine e nella smantellamento dell’ecosistema criminale cibernetico.

Gli IAB non mantengono l’accesso per molto tempo. Secondo Nizich dell’NYIT, gli IAB vendono l’accesso iniziale il prima possibile poiché diventa meno prezioso al passare del tempo. I rischi per l’IAB sono che l’organizzazione scopra e chiuda la vulnerabilità o che qualche altro criminale la trovi e la utilizzi prima che possano venderla.

Secondo il rapporto Secureworks 2022 State of the Threat, il tempo mediano tra l’accesso iniziale e la detonazione del ransomware nelle intrusioni è di 4,5 giorni. Tuttavia, alcuni casi anomali mantengono l’accesso per mesi prima di infettare l’azienda vittima con il ransomware.

Ha detto Jarvis: “Ricordo un aneddoto in cui c’era un’infezione da botnet su un singolo server per oltre 18 mesi. Restava lì a girare indolentemente. Alla fine, qualcuno è riuscito a penetrare e sono riusciti a ricattare con successo quell’organizzazione”.

Secondo Seifried, l’accesso iniziale può rimanere indetectato perché i sistemi che restano non patchati appartengono a organizzazioni con budget di sicurezza limitati o inesistenti, quindi i controlli aggiuntivi come [monitoraggio](https://www.splunk.com/en_us/blog/learn/nsm-network-security-monitoring.html#:~:text=Network%20Security%20Monitoring%20(NSM,as%20an%20intentional%20unauthorized%20activity) e [risposta](https://www.ibm.com/topics/incident-response#:~:text=Incident%20response%20(sometimes%20called%20cybersecurity,cyberthreats,%20security%20breaches%20or%20cyberattacks.) spesso sono deboli o semplicemente inesistenti.

Anche se gli IAB sono un componente serio degli attacchi informatici moderni, non aumentano le conseguenze dell’attacco. Facilitano la vita dei gruppi di ransomware e dei script kiddies che pagano per soluzioni chiavi in mano come Ransomware-as-a-Service (RaaS).

Secondo Seifried, l’esistenza degli IAB mostra un ecosistema che si sta sviluppando con mercati per l’accesso iniziale; i gruppi di ransomware vogliono utilizzare il ransomware, non vogliono perdere tempo per infiltrarsi nelle reti delle aziende.

David Geer è un giornalista che si occupa di questioni legate alla cybersecurity. Scrive da Cleveland, OH, USA.