L'industria degli hacker, che sta diventando sempre più professionale, non offre solo malware e strumenti a noleggio. Gli esperti criminali offrono anche il loro lavoro per soldi. La loro esperienza in Advanced Persistent Threats (APT) richiede una difesa all'altezza degli occhi: Managed Detection and Response (MDR).
Negli ultimi anni, il crimine informatico è diventato più organizzato e si basa sempre più sull'esempio del mondo degli affari. Per quasi un decennio, Malware-as-a-Service ha offerto inizialmente un rapido ingresso nel mondo del crimine informatico e sul mercato illegale è sempre stata presente un'ampia varietà di strumenti: trojan di accesso remoto (RAT), reti di bot per l'invio di spam o anche sofisticati attacchi ransomware. Equipaggiati in questo modo, gli autori con poca esperienza tecnica possono ora gestire malware anche complessi. I ricavi generati vengono ripartiti tra i vari partecipanti, come nella normale vita aziendale: il produttore, ad esempio, riceve il 40 per cento e il resto va agli operatori che effettuano l'attacco.
Cybercriminali con divisione del lavoro
L'ecosistema esistente di servizi e malware ha incoraggiato i criminali informatici a continuare la loro divisione del lavoro in stile industriale: gli sviluppatori scrivono il codice, i product manager progettano le roadmap generali considerando le contromisure. Il supporto tecnico supporta gli utenti nella loro attività quotidiana. L'intero modello di business è finanziato dalle vittime. Per proprio conto, gli attori pubblicizzano quindi sui social media o con un forum alias i risultati finanziari ottenuti dalle campagne passate per reclutare nuovi partner.
Sfortunatamente, il Malware-as-a-Service commerciale ha dimostrato il suo valore. Le analisi mostrano che la tendenza alla commercializzazione in senso negativo è più sostenibile e di vasta portata di quanto si possa pensare: sviluppatori e partner generano miliardi di entrate. Ad esempio, i creatori dell'attacco ransomware GandCrab hanno affermato nei forum clandestini nel 2019 di aver estorto più di due miliardi di dollari USA alle società attaccate.
Dal malware criminale al fornitore di servizi APT
Due anni fa, i gruppi di mercenari APT hanno iniziato a offrire i loro servizi. Prendono di mira attori chiave interessati a metodi di attacco avanzati, potenzialmente collaborando con i governi. Prendendo di mira i sistemi IT in gran parte dell'Europa e della Germania, questi gruppi utilizzano tattiche, tecniche e processi (TTP) avanzati per spiare e rubare informazioni sensibili.
Nel 2018, il gruppo APT precedentemente sconosciuto RedCurl ha attaccato diverse società nei settori bancario, assicurativo, legale, edile, finanziario, di consulenza, vendita al dettaglio e turistico. Secondo l'analisi degli esperti di sicurezza IT di Group-IB, gli autori hanno utilizzato un potente framework malware per l'esfiltrazione dei dati. Nell'estate del 2020, Bitdefender ha rivelato le attività di un altro gruppo di aggressori APT professionisti: il loro modello di business era basato sullo spionaggio informatico nel settore immobiliare. Per fare ciò, ha utilizzato un payload dannoso mascherato da plug-in per il popolare software di computer grafica 3D, Autodesk 3ds Max. Il test professionale del codice rispetto alle contromisure ha assicurato che il malware non fosse rilevato al momento della distribuzione.
La criminalità informatica a un nuovo livello
L'esperienza delle organizzazioni dietro tali attacchi porta il crimine informatico a un nuovo livello. Gli strumenti di spionaggio APT sono il prodotto di team esperti di sviluppatori con conoscenze altamente specializzate. Questi utilizzano toolkit su misura per il rispettivo progetto. Inoltre, impediscono al malware di diffondersi oltre l'effettivo obiettivo dell'attacco. Di conseguenza, è meno probabile che i fornitori di sistemi di difesa ottengano una copia del malware per il rilevamento futuro. Ciò pone le squadre di difesa delle piccole e medie imprese, in particolare, di fronte a grandi sfide. Gli approcci convenzionali al rilevamento di malware basati su file trascurano, ad esempio, campioni di malware polimorfico e il cosiddetto malware senza file. Le tattiche di sopravvivenza come l'abuso del Remote Desktop Protocol (RDP) o di altri strumenti legittimi sono difficili da rilevare. Ciò rende molto difficile per le piccole e medie imprese e le organizzazioni reagire a questi pericoli con la necessaria rapidità.
È vero che la maggior parte delle aziende dispone di tecnologie di base per proteggersi da vari tipi di malware. Ma i sofisticati strumenti dei professionisti APT, una volta all'interno della rete aziendale, possono volare sotto il radar degli sportelli ed eludere le loro azioni, almeno per un po'.
professionalizzare la difesa
Bogdan Botezatu, responsabile dell'analisi delle minacce di Bitdefender
Le soluzioni di sicurezza degli endpoint da sole non sono in grado di rilevare comportamenti e payload dannosi lungo l'intera catena di attacco. La tecnologia da sola non è sufficiente per identificare attacchi complessi che sono stati sviluppati con grande sofisticazione e abilità. La difesa dagli aggressori APT richiede l'interazione di software ed esperti.
Per scoprire tutte le intenzioni e l'intera portata di un attacco effettuato da professionisti, è importante valutare gli eventi aggregati in una soluzione EDR (Endpoint Detection and Response) da un analista umano. Un incidente rilevante viene trasmesso a specialisti in digital forensics per l'analisi. Incident Management contiene il danno. Riduce i costi e i tempi per ripristinare lo stato del sistema o il set di dati precedente e previene danni alla reputazione.
Ma le competenze richieste per tale analisi sono scarse e hanno un prezzo. Ci vuole anche tempo per formare un team di specialisti del rischio informatico. Pertanto, di fronte ad aggressori altamente determinati, molte organizzazioni dovrebbero prendere in considerazione la possibilità di avvalersi di un aiuto esterno sotto forma di offerte di rilevamento e risposta gestite.
Rilevamento e risposta gestiti
Un MDR (Managed Detection and Response) gestito esternamente combina tecnologie di sicurezza comprovate per l'analisi della sicurezza del rilevamento degli endpoint e le indagini sul traffico di rete con la necessaria competenza e conoscenza di esperti altamente qualificati. Tale centro di sicurezza IT aggiuntivo in outsourcing supporta le aziende che non hanno accesso a tecnologie avanzate - come SIEM (Security Information and Event Management), TIP (Threat Intelligence Platform) e SOAR (Security Orchestration Automation and Response) - o non hanno abbastanza personale per una difesa XNUMX ore su XNUMX, XNUMX giorni su XNUMX contro le minacce informatiche business-critical. La supervisione aggiuntiva fornita dagli esperti consente il rilevamento avanzato degli incidenti di sicurezza con una risposta rapida utilizzando processi automatizzati e pre-approvati. Ciò consente agli analisti esterni di agire rapidamente per mitigare e prevenire le minacce.
Le offerte MDR includono anche la ricerca attiva delle minacce fino al monitoraggio del dark web e analisi forensi per indagare sugli indicatori di minaccia contestuali e attuabili. Gli esperti analizzano anche il fattore di rischio di persone e dipendenti. I modelli di minaccia personalizzati consentono una risposta personalizzata agli incidenti. Gli obiettivi di attacco critici per l'azienda e che comportano rischi particolari per l'azienda possono essere monitorati in modo mirato. Il Security Operation Center (SOC) del provider MDR offre l'esperienza di esperti e fornisce report in base alle esigenze dei clienti di diversi settori.
ripristinare il livello degli occhi
Non solo è cambiato il panorama delle minacce, ma anche l'organizzazione, le strutture e, in ultima analisi, il personale dei criminali informatici. I loro modelli sono la divisione del lavoro ei modelli di business nel mondo degli affari legali. Gli aggressori esternalizzano la tecnologia e lo sviluppo. I fornitori di servizi dannosi continuano a posizionarsi con le loro offerte per attaccare aziende di tutte le dimensioni e in tutti i settori per trarre profitto dal crimine informatico. È tempo che l'economia legale pensi ai suoi processi di collaborazione: le aziende non solo hanno bisogno di accedere alle tecnologie di difesa, ma anche alla competenza e all'esperienza di esperti esterni per resistere agli attori dannosi. Compri ciò di cui hai bisogno ma non puoi farlo da solo.
Scopri di più su Bitdefender.com
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de