Sentiamo sempre più spesso parlare di Cybercrime as a Service, per cui è utile comprendere come si sta evolvendo realmente questa nuova tendenza nel mondo del cyber crime e soprattutto come possiamo fare ad arginare la minaccia.
Il primo passo nel campo della prevenzione deve necessariamente essere mosso verso la comprensione delle cinque tipologie più comuni di CaaS (Cybercrime as a Service), ovvero l’offerta su un mercato illegale di servizi accessori all’interno di una più complessa campagna offensiva.
Indice degli argomenti
Cybercrime as a Service: cos’è, le tipologie più comuni
I rischi e le minacce stanno aumentando a un tasso mai visto prima. I cyber criminali stanno approfittando del nuovo mondo plasmato indirettamente dalla Covid-19 per cogliere nuove opportunità e aumentare i propri guadagni.
L’aumento dei ricavi provenienti da queste attività ha anche attirato threat actor meno esperti, interessati però a esplorare nuove frontiere del guadagno. In questo contesto è più semplice comprendere l’esplosione di un nuovo business model nel mondo della criminalità: il crime-as-a-service.
Con questo termine, spesso abbreviato con l’acronimo CaaS, si fa riferimento a professionisti singoli e a organizzazioni criminali che hanno sviluppato tool e servizi “pronti all’uso” per venderli ad altri criminali meno esperti o specialisti di altri ambiti. In questo modo è possibile comprare pacchetti per portare avanti attacchi complessi anche senza il know-how tecnico necessario.
Il monitoraggio di queste minacce è una delle principali sfide rivolte ad aziende ed enti governativi. I primi passi in tal senso devono essere rivolti alla comprensione dei pericoli più concreti, ovvero i cinque casi più comuni di Cybercrime as a Service.
Phishing
Il phishing continua a essere uno dei principali vettori d’attacco per accedere ai sistemi informatici aziendali.
I kit specifici per il phishing, per non parlare delle piattaforme dedicate, sono disponibili pronti all’uso sulla Dark Web con prezzi a partire da 2 dollari per facilitare l’attacco a una qualsiasi organizzazione.
Questi kit e queste piattaforme sono personalizzabili senza aver bisogno di particolari competenze tecniche e hanno vari livelli di automazione.
Kit exploit
Fra questi sono inclusi lo sviluppo di codici di exploit e strumenti per sfruttare vulnerabilità conosciute.
Uno dei kit più noti, chiamato RIG, costa solo 150 dollari alla settimana e può diffondere ransomware, trojan e altri tipi di malware.
È disponibile un’ampia rete di rivenditori con una complessa struttura commerciale che lo rende accessibile a moltissimi criminali. Nell’ultimo periodo, vista la minore frequenza d’uso di Flash, è diventato meno gettonato.
Servizi DDoS
Per i gruppi criminali non è più necessario creare una botnet per lanciare un attacco sul proprio bersaglio. Oggi, è possibile pagare per avere questi servizi on demand. Il tempo che intercorre fra la richiesta e l’attacco vero e proprio è davvero minimo e l’infrastruttura può essere creata e smantellata in maniera rapida ed efficiente.
I servizi accessori agli attacchi DDoS sono altrettanto economici e accessibili, con diversi fornitori che offrono abbonamenti a partire da 5 dollari al mese per un attacco da 300 secondi. Sono poi presenti piani più costosi come quello da 60 dollari al mese per un attacco da 10.800 secondi.
Ransomware-as-a-Service (RaaS)
Come visto nel caso dei servizi riservati agli attacchi DDoS, i cyber criminali possono richiedere servizi di ransomware on demand per colpire una vittima specifica, senza aver bisogno di un alto know-how tecnico.
In questo caso vengono forniti non solo gli strumenti ma anche tutte le informazioni necessarie per portare a termine l’attacco.
I RaaS sono disponibili a prezzi variabili con alcune soluzioni ad abbonamento, con costi fissi o con condivisione del bottino finale. Le cifre possono partire da 40 dollari fino ad arrivare a migliaia di dollari per gli obiettivi più importanti.
Research-as-a-Service
In questo caso, l’obiettivo è raccogliere informazioni, attraverso mezzi leciti e illeciti, rispetto alle vittime. Può trattarsi di sottrazione di dati personali, come credenziali compromesse, con la vendita di informazioni relative a possibili vulnerabilità nei software o nel sistema informatico del target.
Ovviamente, tutto questo mercato ha bisogno di riservatezza e non c’è modo migliore per “far perdere le proprie tracce” di utilizzare le criptovalute.
Le criptovalute sono un metodo di pagamento molto utilizzato dai cyber criminali per trasferire fondi grazie all’anonimato, alla facilità d’uso e alla mancanza di limitazioni internazionali.
I conti in criptovaluta solitamente non richiedono il caricamento di documenti o informazioni personali, facilitando ancora di più il compito alle gang.
Cybercrime as a Service: cosa ci riserva il futuro
Il primo step da intraprendere riguarda un aspetto spesso discusso ma raramente attuato: la collaborazione.
Abbiamo visto ottimi esempi di come i team di cyber security possano lavorare fianco a fianco su specifici progetti, come nel caso del takedown di Emotet.
Questo approccio ha migliorato sensibilmente la situazione. Con l’impegno comune delle parti chiamate in causa. Il risultato è stato una maggiore consapevolezza situazionale, condivisione dei dati analitici e una comprensione più concreta delle minacce, oltre a creare uno standard utile per le procedure future.
Combattere il cyber crimine e smantellare l’infrastruttura dell’economia sommersa sono obiettivi complessi ma che possono essere raggiunti attraverso una gestione più trasparente, applicando modelli end-to-end e facilitando la collaborazione fra le parti in causa, risparmiando e utilizzando in maniera più efficiente le risorse economiche.
Certo questa è una visione “vista dall’alto”: lato utente finale, l’approccio migliore per arginare e contrastare il fenomeno rimane sempre lo stesso. Vanno solidificati e rispettati i tre pilastri della cyber security: sicurezza predittiva, sicurezza preventiva e sicurezza proattiva.
Non abbassiamo la guardia.