Una nuova ricerca dimostra che le bande criminali si stanno concentrando maggiormente sull'acquisizione di credenziali rubate per aggirare le misure di sicurezza.
L'underground della criminalità informatica funziona da tempo come un mercato aperto in cui i venditori di prodotti e servizi sono abbinati ad acquirenti e appaltatori. Una delle merci più preziose di questo mercato sono le credenziali rubate, poiché possono fornire agli aggressori l'accesso a reti, database e altre risorse di proprietà delle organizzazioni. Non sorprende che i criminali informatici si concentrino su questo bene prezioso.
"L'anno scorso sono state segnalate 4.518 violazioni di dati", affermano i ricercatori di cyber security in un nuovo rapporto. "Gli attori delle minacce hanno esposto o rubato 22,62 miliardi di credenziali e record personali, che vanno da informazioni finanziarie e sui conti correnti a e-mail e numeri di previdenza sociale". Oltre il 60% di queste credenziali e altri dettagli sono stati rubati da organizzazioni del settore informatico, che in genere ospitano dati per clienti di molti altri settori.
Flashpoint, specializzata in intelligence sulle minacce informatiche, monitora costantemente i mercati, i forum e altri canali di comunicazione dei criminali informatici. Ad oggi il suo database di informazioni sulle minacce include 575 milioni di post su forum illegali, 3,6 miliardi di messaggi di chat, 39 miliardi di credenziali compromesse, 85 miliardi di credenziali uniche di e-mail/password e oltre 2 miliardi di numeri di carte di credito che sono stati rubati e poi condivisi tra i criminali informatici.
"La proliferazione di dati ottenuti illegalmente offre agli attori delle minacce ampie opportunità di aggirare le misure e i controlli di sicurezza delle organizzazioni, consentendo a gruppi di ransomware come LockBit di trattenere i dati per il riscatto o di venderli o esporli sui mercati illeciti.”
Proprio come le bande di ransomware vanno e vengono in quello che sembra un ciclo infinito di rebranding, anche i mercati illegali lo fanno. Sebbene le forze dell'ordine abbiano eliminato o chiuso da sole alcuni grandi mercati del crimine informatico di lunga data (SSNDOB, Raid Forums e Hydra sono solo alcuni dei più noti), altri sono spuntati rapidamente per prendere il loro posto. I criminali informatici di solito mantengono canali di comunicazione alternativi come Telegram, attraverso il quale possono tenersi informati a vicenda e pubblicizzare nuovi mercati alternativi in sostituzione di quelli bannati/eliminati. In effetti, solo l'anno scorso Flashpoint ha registrato la nascita di 190 nuovi mercati illeciti. Un forum pubblicizzato come sostituto di Raid Forums è passato da 1.500 membri nel marzo 2022 a oltre 190.000 a novembre.
"I mercati illeciti hanno un impatto diretto sulle violazioni dei dati e sugli attacchi informatici", ha dichiarato Flashpoint. "I truffatori, i broker di accesso iniziale, i gruppi di ransomware e i gruppi di minacce persistenti avanzate (APT) si rivolgono a questi mercati, negozi e forum per commerciare credenziali rubate e dati personali, che vengono sfruttati in una varietà di attività illecite".
Come si procurano le credenziali gli aggressori?
Le violazioni di dati sono una delle fonti principali di credenziali esposte, ma mentre la causa principale delle violazioni di dati individuali è l'hacking, questo metodo è responsabile solo del 28% delle credenziali e dei record trapelati che si fanno strada sui mercati clandestini. Oltre il 71% delle credenziali e dei record personali sono trapelati solo dal 5% delle violazioni di dati e sono il risultato di configurazioni errate di database e servizi.
"Questi dati dimostrano che una volta che le organizzazioni impiegano i fornitori per svolgere questi servizi per loro conto, questi stessi fornitori lasciano i dati sensibili dei clienti e dei dipendenti all'aperto", hanno dichiarato i ricercatori di Flashpoint. "Per questo motivo, è fondamentale che i leader aziendali abbiano un programma attivo di gestione del rischio dei fornitori o che si assicurino che la loro catena di fornitura digitale stia implementando controlli di sicurezza efficaci".
Il phishing è un altro modo popolare di rubare le credenziali agli utenti e, il 2022 è stato un anno record per le pagine di phishing registrate da Flashpoint. Questa attività è stata anche mercificata, con kit di phishing disponibili (anche in chiaro) per l'acquisto e nuove tecniche sviluppate. Un esempio è EvilProxy, una piattaforma di phishing as-a-service che utilizza un approccio person-in-the-middle per intercettare le credenziali di accesso e i token di autenticazione a più fattori.
Anche i programmi malware, in particolare i ruba-informazioni in grado di estrarre le credenziali di accesso salvate nei browser e in altre applicazioni, sono molto richiesti sui forum underground. Oltre agli stealers commerciali esistenti come Raccoon, RedLine e Vidar, nuovi programmi di questo tipo sono entrati nel mercato nel 2022, tra cui AcridRain e TyphonStealer.
"Gli stealer sono stati uno strumento prolifico nel 2022, responsabile di fornire ai log shop enormi quantità di credenziali compromesse", hanno dichiarato i ricercatori di Flashpoint. "L'uso degli stealers è stato collegato a diverse violazioni di alto profilo, in particolare da parte della banda di estorsori di dati LAPSUS$".
Infine, anche gli exploit per le vulnerabilità note sono una merce calda e possono portare a violazioni dei dati. Gli analisti di Flashpoint hanno registrato 766 casi in cui i criminali informatici hanno discusso le vulnerabilità in base all'identificativo CVE su forum clandestini, con prezzi per gli exploit affidabili che si aggirano tra i 2.000 e i 4.000 dollari, ma che arrivano a 10.000 dollari per quelli più avanzati.
Trovi questo articolo interessante?
Seguici anche sulle nostre pagine social e su Linkedin per non perdere i nostri nuovi post.
留言