Si chiamano Initial access brokers e sono gruppi di criminal hacker che operano come la supply chain del ransomware, fornendo agli autori dei virus “sequestra-PC” l’accesso diretto ai sistemi da loro compromessi.
Sono dunque finiti i giorni in cui l’unico strumento per ottenere l’accesso a un network bersaglio erano le campagne di phishing: oggi, gli operatori del ransomware si sono evoluti, spostandosi dalla loro nicchia verso una vera e propria serie di complessi cartelli della criminalità informatica con competenze, strumenti e budget veramente elevati e sempre più spesso le gang criminali si affidano dunque a collaborazioni a più livelli con altri gruppi hacker.
Indice degli argomenti
Il ruolo degli Initial access brokers
Dagli RDP esposti in rete, dispositivi di rete in cui è stata ottenuta una backdoor o device infettati da malware, questi sistemi danno l’accesso “chiavi in mano” ai gruppi ransomware per attaccare i propri bersagli.
Questi broker sono rapidamente diventati una componente cruciale del cyber crime.
Oggi, tre tipologie si distinguono come fonti per la maggior parte degli attacchi ransomware:
- venditori di endpoint RDP;
- venditori di dispositivi di rete hackerati (server VPN, firewall o altri dispositivi edge);
- venditori di device già infettati da malware (colpiti attraverso l’attività di botnet).
Come mitigare il rischio degli Initial access brokers
Ovviamente, predisporre le contromisure necessarie per difendersi contro queste tre tipologie di attacchi è il modo più rapido per scongiurare la minaccia ransomware.
Ma, mentre nei primi due casi, questa difesa passa dalle best practice di sicurezza come buone policy di password management e l’aggiornamento repentino e regolare dei propri software, per il terzo il discorso si fa più complesso.
Questo perché gli operatori di botnet malware spesso si affidano anche al social engineering per ingannare gli utenti a installare malware sui loro sistemi, anche se i computer utilizzano software aggiornati, oltre al fatto che l’attività di una botnet rimane comunque difficile tra tracciare senza gli appropriati strumenti di Cyber Threat Intelligence (CTI) ed Endpoint Detection and Response (EDR).
Le botnet più temibili per la diffusione di ransomware
Ma quali sono le botnet più temibili e a quali ransomware sono legate?
Emotet
Emotet è oggi la più grande botnet distributrice di malware. Anche se sono pochi i casi in cui Emotet è stato direttamente coinvolto nella diffusione di ransomware, ciononostante molti attacchi sono stati proprio ricondotti a questa botnet.
Di solito, infatti, Emotet vende l’accesso ai sistemi che ha infettato ad altre gang di malware, che in seguito vendono il proprio accesso alle gang di ransomware. Oggi, la catena di infezioni più comune legata a Emotet segue questi passaggi: Emotet-Trickbot-Ryuk.
Trickbot
Trickbot è molto simile a Emotet come modus operandi. Negli ultimi due anni, questa botnet ha venduto con una certa regolarità l’accesso ai suoi sistemi a gang di ransomware che in seguito hanno distribuito Ryuk e Conti.
BazarLoader
BazarLoader è attualmente considerata una backdoor modulare sviluppata da un gruppo con legami a Trickbot. Infatti, ne segue anche il modello e si è già associato alcune gang ransomware per fornire l’accesso ai sistemi che infettano.
Attualmente, BazarLoader è stato visto come il punto di origine delle infezioni con il ransomware Ryuk.
QakBot
Pinkslipbot, Qbot, o Quakbot è talvolta indicato all’interno della comunità di infosec come l’Emotet “più lento” perché di solito fa quello che fa l’Emotet, ma qualche mese dopo.
QakBot ha anche recentemente collaborato con diverse gang di ransomware. Prima con MegaCortex, poi con ProLock, e attualmente con la gang del ransomware Egregor.
SDBBot
SDBBot è un ceppo di malware gestito da un gruppo di criminali informatici denominato TA505.
Non è un ceppo di malware comune, ma è stato visto come il punto di origine degli incidenti in cui è stato distribuito il ransomware Clop.
Dridex
Dridex è l’ennesima gang di trojan bancari che si è riorganizzata come “malware downloader”, seguendo gli esempi dati da Emotet e Trickbot nel 2017.
Mentre in passato la botnet Dridex ha utilizzato campagne di spam per distribuire il ransomware Locky a utenti casuali su Internet, negli ultimi anni ha anche utilizzato computer che ha infettato per distribuire le familiy di ransomware BitPaymer o DoppelPaymer.
Zloader
Arrivato in ritardo al gioco “installa il ransomware”, Zloader sta recuperando velocemente e ha già stabilito delle partnership con gli operatori di Egregor e Ryuk.
Se c’è un’operazione di malware che ha la capacità e le connessioni per espandersi, è proprio questa.
Buer
Detto anche Buer Loader, è un’operazione di malware lanciata alla fine dell’anno scorso, ma ha già stabilito una reputazione e connessioni nel cybercrime underground per collaborare con gruppi di ransomware. Per Sophos, alcuni incidenti in cui è stato scoperto il ransomware Ryuk sono stati collegati alle infezioni di Buer giorni prima.
Phorpiex
Phorpiex o Trik, è una delle botnet di malware più piccole, ma non meno pericolose.
Le infezioni con il ransomware Avaddon viste all’inizio di quest’anno sono state collegate a Phorpiex. Sebbene né Avaddon né Phorpiex siano nomi comuni, dovrebbero essere trattati con lo stesso livello di attenzione di Emotet, Trickbot e degli altri.
CobaltStrike
CobaltStrike non è una botnet. È in realtà uno strumento di penetration test che viene spesso abusato anche dalle bande di malware.
Le aziende non vengono “infettate” da CobaltStrike. Tuttavia, molte gang di ransomware utilizzano componenti di CobaltStrike come parte delle loro intrusioni.
Lo strumento viene spesso utilizzato come mezzo per controllare più sistemi all’interno di una rete interna e come precursore dell’attacco ransomware vero e proprio.
Se vedete CobaltStrike sulla vostra rete e non state eseguendo un pentest, allora fermate tutto ciò che state facendo, mettete i sistemi offline e controllate tutto per trovare il punto d’ingresso di un attacco.
