L'industria del crimine informatico è sempre più professionale e orientata ai servizi.
Siamo di fronte alla professionalizzazione dei criminali informatici. Un processo che vede come protagonisti il modello Ransomware-as-a-service con gli affiliati, Initial Access Broker, Crypter as a Service (CaaS), Cryptojacker e Malware as-a-Service (MaaS). A fare il punto è WithSecure con il report The Professionalization of Cyber Crime.
Del concetto di RaaS si parlava già nel 2018, quando quello che allora era il nuovo paradigma informatico dell’Everything-as-a-Service venne declinato in salsa ransomware dal cybercrime, sempre attento a sfruttare ogni innovazione potenzialmente vantaggiosa. All’epoca circolavano nel darkweb delle piattaforme RaaS che si limitavano a permettere a chiunque di creare il proprio ransomware in maniera relativamente semplice. Nel tempo il concetto si è evoluto, grazie ai ricchissimi proventi degli attacchi ransomware, fino ad arrivare alla rapida crescita di un mercato clandestino di prodotti e servizi che ha richiesto figure altamente specializzate che sviluppano e gestiscono servizi da offrire ad altri cybercriminali.
Gli affiliati dei gruppi ransomware si servono oggi di strumenti e servizi nell'ambito del modello criminale as-a-service, condivisi tra gruppi non collegati fra loro. Si pensi per esempio l’attuale sovrapposizione delle TTP degli attaccanti, anche quando hanno motivazioni e obiettivi molto diversi. Sono proprio questi strumenti e servizi ad avere richiesto figure professionali verticali. Quelle più richieste al momento sono i cryptojacker, ovvero coloro che sottraggono potenza di elaborazione per estrarre criptovaluta criptovalute e gli Initial Access Broker (IAB), che rubano e rivendono sul darkweb le credenziali di accesso alle reti delle potenziali vittime.
Entrambe queste figure sono da vedere come una vera e propria minaccia e sono accomunati dall’essere spesso all'avanguardia nello sfruttamento delle vulnerabilità. Lampante è il ruolo di successo degli IAB, che oltre ad essere ampiamente richiesti dagli esponenti della criminalità informatica, sono apprezzati anche dagli APT nelle proprie campagne politicamente motivate.
Ci sono poi strumenti condivisi importanti come i Crypter-as-a-Service (CaaS) e i Malware-as-a-Service (MaaS) i cui nomi sono ampiamente descrittivi. WithSecure ha incluso nel suo report sei esempi distinti del modello "as as a service" in uso, nelle catene di uccisione osservate: chi è interessato può consultare la documentazione completa.
Secondo il report la tendenza alla professionalizzazione rende accessibili le competenze e gli strumenti necessari per attaccare le organizzazioni anche a threat actor meno qualificati o con scarse risorse. Elemento importante è inoltre il fatto che secondo gli esperti probabilmente il numero di attaccanti e le dimensioni del settore della criminalità informatica cresceranno nei prossimi anni.
Gli esperti hanno effettuato inoltre una approfondita analisi di oltre 3000 fughe di dati da parte di gruppi ransomware, da cui è emerso che le organizzazioni più appetibili risultano quelle statunitensi, seguite da canadesi, inglesi, tedesche, francesi e australiane. Da sole le aziende dei Paesi indicati hanno rappresentato i tre quarti delle fughe di dati incluse nell'analisi. Emblematico di quello che ci si potrebbe aspettare è il caso in cui i ricercatori hanno individuato cinque categorie differenti di cybercriminali che operavano di concerto nello stesso attacco.
Passando ai vertical, l'industria delle costruzioni sembra essere la più colpita, dato che rappresenta da sola il 19% dei data breach. Per contro, le aziende del settore automobilistico hanno rappresentato solo il 6% circa. Nel mezzo di questa ampia forchetta c’è poi un certo numero di altri settori, colpiti a seconda delle preferenze dei gruppi ransomware in campo.