Sommario
Il modello “as-a-service” è diventato una pratica comune nel settore tecnologico, con aziende che offrono i loro software a terzi basandosi su una licenza rinnovabile per una tariffa. Ora, anche gli attori minacciosi stanno adottando questo modello, vendendo i loro strumenti di malware su siti illeciti, creando un nuovo flusso di entrate.
Malware “as-a-service”: come funziona
Gli attori minacciosi creano una suite di strumenti di malware e li offrono in vendita su siti illeciti. Questo può variare dal chiedere ai “clienti” di pagare una tariffa mensile per l’accesso a questo set di strumenti da utilizzare negli attacchi informatici, o gli utenti possono persino pagare i creatori originali per distribuire il malware per loro conto e gestire l’infezione.
Ransomware-as-a-service
Il ransomware-as-a-service è una versione relativamente nuova di questi gruppi di commodity, come DarkSide, noto per l’attacco informatico del 2021 che ha interrotto l’oleodotto Colonial e ha reso la benzina più costosa per migliaia di consumatori statunitensi. Ma altri attori malintenzionati hanno adottato questo modello di business, offrendo tutto, dai server di comando e controllo ai bot di phishing-as-a-service.
Vantaggi del modello “as-a-service”
Ci sono diverse ragioni per cui gli aggressori potrebbero optare per pagare uno strumento di malware as-a-service per la loro campagna scelta:
- Risparmia tempo agli aggressori. Quando pagano per il kit di malware di qualcun altro, non devono investire tempo, denaro o lavoro per scrivere il loro codice o strumenti maligni e possono passare direttamente al dispiegamento del malware.
- Per gli attori e i gruppi che hanno creato originariamente il malware, è un flusso di reddito più affidabile. Di solito, dovrebbero sperare che un attacco di successo porti a un pagamento del riscatto o a qualche tipo di altro guadagno finanziario. Invece, possono fare soldi commercializzando i loro servizi ad altri attori malintenzionati per una tariffa.
- Gli attori malintenzionati che vogliono entrare nel business degli attacchi informatici hanno bisogno di poche o nessuna competenza tecnica per iniziare. Quando un aggressore paga per un malware as-a-service, spesso ottiene un login individuale con supporto clienti dedicato, proprio come qualsiasi utente farebbe con un software legittimo. In questo modo, possono fare domande e ricevere aiuto se si bloccano durante il dispiegamento del malware. Questo significa che, teoricamente, chiunque con interesse potrebbe iniziare un attacco informatico.
Esempio notevole: Greatness
I ricercatori di Cisco Talos hanno recentemente scoperto Greatness, uno dei più avanzati strumenti di phishing-as-a-service mai visti in natura. Greatness offre la possibilità agli utenti di bypassare le protezioni di autenticazione multi-fattore dei bersagli, il filtraggio IP e l’integrazione con i bot di Telegram. Per ora, Greatness si concentra solo sulle pagine di phishing di Microsoft 365, fornendo ai suoi affiliati un costruttore di allegati e link che crea pagine di decoy e di login molto convincenti.
USA, cittadino ucraino gestiva servizio malware as service usando Raccoon Stealer
Poiché il malware as-a-service o commodity può includere tutti i tipi di malware, può essere difficile fornire consigli specifici per il rilevamento e la prevenzione. Per Greatness in particolare, chiunque implementi l’autenticazione multi-fattore dovrebbe optare per l’autenticazione basata su codice attraverso la loro app MFA di scelta, come Cisco Duo, piuttosto che il metodo più facile da rompere di una semplice notifica push “sì” o “no”.
