Nel vecchio gioco del gatto e del topo tra sicurezza informatica e criminalità informatica, tutto si riduce a chi può inventare una mossa intelligente. I criminali informatici spesso sfruttano le buone idee dell'IT o della sicurezza per espandere in modo massiccio le loro macchinazioni: il crimine informatico come servizio.
Durante il 2022, i principali gruppi di criminalità informatica hanno costruito un intero ecosistema di servizi per criminali ben finanziati e altri compari che, per quanto ne sappiamo oggi e con grande dispiacere delle vittime, è ben organizzato. Inoltre, l'approccio as-a-service al crimine informatico ha fatto sì che criminali informatici relativamente inesperti disponessero di strumenti di attacco efficaci che non sarebbero stati in grado di utilizzare senza questi servizi.
Il diverso crimine informatico come servizio
Accesso come servizio
L'accesso ad account e sistemi compromessi viene venduto singolarmente o in blocco tramite servizi sotterranei, tra cui Remote Desktop Protocol (RDP) e credenziali VPN, account, database, web shell e vulnerabilità sfruttabili.
Distribuzione/diffusione di malware come servizio
Ciò significa diffondere malware in regioni o settori dedicati o anche su vasta scala. Nelle offerte che il team di Sophos X-Ops ha visto per tali servizi, non è sempre chiaro quale strategia sia stata utilizzata. Ma i possibili vettori di attacco includono attacchi watering hole, sfruttamento delle vulnerabilità o combinazione con offerte AaaS (Access-as-a-Service).
Phishing come servizio
Si tratta di attori delle minacce che offrono un servizio end-to-end per le campagne di phishing, inclusi siti Web clonati, hosting, e-mail appositamente predisposte per aggirare i filtri antispam e pannelli per monitorare i risultati.
OPSEC come servizio
Sophos X-Ops ha visto questo servizio in un forum criminale insieme a Cobalt Strike. Il venditore offre ai potenziali clienti di supportarli con un servizio OPSEC (Operations Security), che può essere impostato una volta o sottoscritto mensilmente, ed è progettato per nascondere le infezioni da Cobalt Strike e ridurre al minimo il rischio di rilevamento e attribuzione.
La criptazione come servizio
Questo servizio di criminalità informatica è un servizio comune disponibile per l'acquisto su molti forum. Crittografa il malware in modo tale che non possa essere rilevato, in particolare da Windows Defender e SmartScreen e, in misura minore, dai prodotti antivirus tradizionali. Ad esempio, il prezzo del servizio era di $ 75 per un utilizzo una tantum o $ 300 per un abbonamento di un mese che includeva l'uso illimitato del servizio.
La truffa come servizio
Il team di Sophos X-Ops ha visto alcuni esempi di "kit di truffa", in particolare legati alle truffe di criptovalute, promossi sui forum criminali. Non era sempre chiaro cosa venisse venduto esattamente, ma un annuncio offriva un "Elon Musk Giveaway BTC Scampage" già pronto per $ 450. Questa è una truffa popolare su Twitter e ha persino fatto il giro di un video falso.
Vishing come servizio
Si tratta di un servizio di phishing vocale ("vishing") in cui un attore di minacce si offre di noleggiare un sistema vocale per rispondere alle chiamate. E questo insieme a un "sistema di intelligenza artificiale" in modo che l'affittuario possa scegliere di far parlare le proprie vittime con un bot invece che con un essere umano.
Spamming come servizio
Lo spamming-as-a-Service è un vecchio favorito ma ancora prevalente nei forum criminali. Offre spamming di massa attraverso una varietà di meccanismi tra cui SMS ed e-mail. In alcuni casi, i criminali informatici si offrono di configurare l'intera infrastruttura da zero; in altri casi, gestiscono l'infrastruttura e la utilizzano per inviare messaggi di spam personalizzati.
Scansione come servizio
Questo servizio criminale offre agli utenti l'accesso a una gamma di strumenti commerciali legittimi, tra cui Metasploit, Invikti, Burp Suite, Cobalt Strike e Brute Ratel, per trovare (e presumibilmente sfruttare) le vulnerabilità. L'intera infrastruttura è apparentemente costruita e mantenuta dal fornitore, secondo una ricerca di Sophos X-Ops, che afferma altrove che "devi" solo aspettare il risultato della scansione nella casella di posta".
Era così? Piuttosto no!
Per il 2023 e oltre, si può prevedere che la professionalizzazione della criminalità informatica continuerà. L'industrializzazione del ransomware ha già consentito l'evoluzione degli "affiliati" del ransomware in società di sfruttamento più professionali e specializzate. Attraverso l'uso di cybercrime-as-a-service professionali e offensivi, i criminali informatici non possono più essere chiaramente associati a specifiche operazioni di ransomware, spionaggio organizzato dallo stato o altri motivi specifici. I gruppi professionalizzati si sono specializzati nel dare accesso ad attività criminali a tutti gli attori motivati e disposti a pagare.
In molti modi, questi gruppi hanno imitato i modelli di business dei settori del cloud e dei servizi web. Proprio come i reparti IT aziendali hanno adottato il modello "as-a-service" per un numero sempre maggiore di operazioni, oggi quasi ogni aspetto del crimine informatico può essere esternalizzato anche a fornitori di "crimine come servizio". Tendenza ascendente. Maggiori informazioni su questo nel Sophos Threat Report 2023.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.