Un esercito di attaccanti ma, a riempire gli arsenali degli hacker, sarebbero pochi attori. Un oligopolio dell’hacking ridotto a pochi loader, ovvero QakBot – noto anche come QBot, QuackBot e Pinkslipbot – è l’anima del 30% degli attacchi, seguito da SecGholish (al 27%) e da Raspberry Robin (23%).
L’azienda di cyber security Reliaquest ha fatto i conti in tasca ai malware, ricostruendo in un report le paternità degli attacchi. Va detto che l’avere rilevato un malware loader non coincide con il successo dell’attacco stesso e che, quindi, la rete presa di mira può non essere stata compromessa ma questo, pure essendo importante, nulla toglie al fatto che la miriade di attacchi sferrati ogni anno siano braccia armate da pochi attori.
I loader servono agli hacker per garantirsi l’accesso alle reti e ai sistemi target, supportare ulteriori tentativi di intrusione e, nell’ultima fase, a rilasciare pacchetti di dati dannosi. Nella nutrita famiglia dei malware rientrano anche i ransomware, gli spyware, i worm e i trojan. Ecco chi gestisce i loader e quali sono le peculiarità di ognuno.
Crescono gli attacchi cyber in Italia, ma anche le difese: ecco il quadro
Indice degli argomenti
QakBot e SocGholish
Le prime tracce di QakBot risalgono al 2007. Un trojan usato per attaccare il mondo della finanza e storicamente associato al collettivo Black Basta e, per lunghi anni, dedito ai ransomware a doppia estorsione. Prima di criptare i dati della vittima li esfiltra e minaccia di renderli pubblici se questa non paga il riscatto. Al danno operativo si aggiunge così quello reputazionale.
Ad agosto del 2023 (dopo 16 anni complessivi di attività), la rete QakBot è stata spenta grazie a una collaborazione tra autorità internazionali coordinate dal dipartimento di Giustizia degli Stati Uniti.
L’operazione congiunta ha consentito di recuperare 8,6 milioni di dollari in criptovalute, parte del bottino frutto delle razzie.
SocGholish, noto anche come FakeUpdates, è collegato al gruppo Evil Corp (lo stesso di WastedLocker) e prende di mira i sistemi Windows. Si tratta spesso di finti aggiornamenti software che, di fatto, vengono prelevati da siti infetti senza l’intervento dell’utente.
Noto dal 2018, restringe il focus soprattutto sulle imprese attive nella ristorazione e nel settore alberghiero ma, al pari di ogni altro malware, non disdegna mettere il becco al di fuori della propria comfort zone.
Il caso Raspberry Robin
Un mezzo di diffusione che fa scuola in due diversi modi. Il primo è atavico: per diffondersi usa i dispositivi USB. In altre parole, il worm usa come vettore una tecnica nota da anni e ciò dimostra che molte organizzazioni, nonostante la vasta gamma di software che consentono di disattivare le porte USB di client e server, ancora lasciano che i propri dipendenti ne facciano uso.
Tutto facile anche se evitabile
L’oligopolio è ben noto, così come sono note le minacce ransom e malware in genere. Perché, allora, le organizzazioni continuano a cascare nella rete?
I problemi principali sono di due ordini diversi, il primo umano e il secondo tecnologico.
L’uomo è perfettibile, così come del resto sono perfettibili le tecnologie di difesa. Non tutte le organizzazioni hanno una cultura appropriata della cyber security, tant’è che non fa quasi effetto scoprire l’esistenza di vecchie vulnerabilità mai fallate da sistemisti: fanno più danni gli exploit n-day di quelli zero-day.
Se le organizzazioni prendono sottogamba la questione cyber security, di riflesso i rispettivi dipendenti non hanno quel minimo di consapevolezza delle minacce utile a sventarle o comunque a ridurne le possibilità di successo.
Con questi presupposti gli hacker hanno vita relativamente facile. Le due brecce nei muri difensivi, ossia quella umana e quella tecnologica, si sovrappongono quasi alla perfezione diventano un’unica grande breccia attraverso cui gli attaccanti passano indisturbati.
Se consideriamo il trojan AIDS come il primo attacco ransom (un trojan del 1989 che esigeva un pagamento di 189 dollari per sbloccare il computer), possiamo sostenere che simili attacchi, benché evolutisi nel frattempo, hanno quasi 35 anni di vita. Nel frattempo, l’hacking è cresciuto, escogitando nuove tecniche di attacchi capaci persino di mettere in ginocchio le strutture critiche di una nazione. Nonostante ciò, una famiglia di virus che ha sulle spalle più di tre decenni, continua a scorrazzare libera di organizzazione in organizzazione.
La cyber security non è trascendentale. I rimedi sono sempre gli stessi: sistemi aggiornati, monitoraggio del traffico di rete e degli accessi, policy di restrizione, crittografia e backup. Quello che manca è la cultura al loro uso appropriato che è un anello il cui cerchio inizia e termina con l’uomo.
Ciò che serve è la cultura della difesa che professionisti preparati devono trasmettere a tutti i dipendenti dell’organizzazione. E questo vale per le imprese pubbliche e per quelle private.