L’economia sommersa è in piena espansione, fomentata da un settore del ransomware in crescita e in evoluzione. Il Dark Web conta centinaia di mercati fiorenti in cui è possibile acquistare un’ampia gamma di prodotti e servizi ransomware professionali a diversi prezzi.
I ricercatori di Venafi e Forensic Pathways hanno analizzato circa 35 milioni di URL del Dark Web – compresi i forum e i mercati – tra novembre 2021 e marzo 2022 e hanno scoperto 475 pagine web piene di annunci di ceppi di ransomware, codice sorgente di ransomware, servizi di costruzione e sviluppo personalizzato e offerte di ransomware-as-a-service (RaaS) a tutti gli effetti.
Una pletora di strumenti per il ransomware
I ricercatori hanno identificato 30 diverse famiglie di ransomware in vendita sulle pagine e hanno trovato annunci di varianti ben note come DarkSide/BlackCat, Babuk, Egregor e GoldenEye, che in passato sono state associate ad attacchi contro obiettivi di alto profilo. I prezzi di questi strumenti di attacco collaudati tendevano a essere significativamente più alti rispetto alle varianti meno conosciute.
Ad esempio, una versione personalizzata di DarkSide – il ransomware utilizzato nell’attacco Colonial Pipeline – aveva un prezzo di 1.262 dollari, rispetto ad alcune varianti disponibili a soli 0,99 dollari. Il codice sorgente del ransomware Babuk, invece, era quotato 950 dollari, mentre quello della variante Paradise era venduto a 593 dollari.
“È probabile che altri hacker acquistino il codice sorgente del ransomware per modificarlo e creare le proprie varianti, in modo simile a uno sviluppatore che utilizza una soluzione open source e la modifica per soddisfare le esigenze della propria azienda”, afferma Kevin Bocek, vicepresidente della strategia di sicurezza e threat intelligence di Venafi.
Il successo che gli attori delle minacce hanno ottenuto con varianti come Babuk, utilizzata in un attacco al dipartimento di polizia di Washington l’anno scorso, rende il codice sorgente più interessante, afferma Bocek. “Si può quindi capire perché un attore delle minacce voglia usare il ceppo come base per sviluppare la propria variante di ransomware”.
Non è necessaria alcuna esperienza
I ricercatori di Venafi hanno scoperto che in molti casi gli strumenti e i servizi disponibili attraverso questi marketplace – compresi i tutorial passo-passo – sono progettati per consentire agli aggressori con competenze tecniche ed esperienza minime di lanciare attacchi ransomware contro le vittime di loro scelta.
“La ricerca ha rilevato che i ceppi di ransomware possono essere acquistati direttamente sul Dark Web, ma anche che alcuni ‘venditori’ offrono servizi aggiuntivi come l’assistenza tecnica e componenti aggiuntivi a pagamento, come processi non uccidibili per gli attacchi ransomware, oltre a tutorial”, spiega Bocek.
Altri fornitori hanno segnalato il crescente utilizzo, da parte degli attori del ransomware, di servizi di accesso iniziale, per prendere piede in una rete bersaglio. I broker di accesso iniziale (IAB) sono attori di minacce che vendono l’accesso a una rete precedentemente compromessa ad altri attori di minacce.
I broker di accesso iniziale prosperano nell’economia sommersa
Uno studio condotto da Intel471 all’inizio di quest’anno ha rilevato un nesso crescente tra gli attori del ransomware e gli IAB. Tra gli attori più attivi in questo spazio vi sono Jupiter, un attore di minacce che è stato visto offrire l’accesso a ben 1.195 reti compromesse nel primo trimestre dell’anno, e Neptune, che ha elencato più di 1.300 credenziali di accesso in vendita nello stesso periodo di tempo.
Gli operatori di ransomware che Intel471 ha individuato utilizzare questi servizi includono Avaddon, Pysa/Mespinoza e BlackCat.
Spesso l’accesso viene fornito tramite credenziali compromesse di Citrix, Microsoft Remote Desktop e Pulse Secure VPN. SpiderLabs di Trustwave, che tiene sotto controllo i prezzi di vari prodotti e servizi nel Dark Web, descrive le credenziali VPN come i record più costosi nei forum clandestini. Secondo il fornitore, i prezzi per l’accesso VPN possono raggiungere i 5.000 dollari – e anche di più – a seconda del tipo di organizzazione e dell’accesso fornito.
“Mi aspetto di assistere a una furia del ransomware come negli ultimi anni”, afferma Bocek. “L’abuso delle identità delle macchine vedrà anche il ransomware passare dall’infettare singoli sistemi all’impossessarsi di interi servizi, come un servizio cloud o una rete di dispositivi IoT”.
Un panorama frammentato
Nel frattempo, un altro studio pubblicato questa settimana – un rapporto di metà anno sulle minacce di Check Point – mostra che il panorama del ransomware è disseminato di un numero di attori notevolmente superiore a quello generalmente percepito. I ricercatori di Check Point hanno analizzato i dati delle attività di risposta agli incidenti dell’azienda e hanno scoperto che, sebbene alcune varianti di ransomware, come Conti, Hive e Phobos, fossero più comuni di altre, non rappresentavano la maggioranza degli attacchi. Infatti, il 72% degli incidenti ransomware a cui i tecnici di Check Point hanno risposto riguardava una variante che avevano incontrato solo una volta in precedenza.
“Questo suggerisce che, contrariamente ad alcune ipotesi, il panorama del ransomware non è dominato solo da alcuni grandi gruppi, ma è in realtà un ecosistema frammentato con molteplici attori minori che non sono così ben pubblicizzati come i gruppi più grandi”, secondo il rapporto.
Check Point, come Venafi, ha sottolineato che il ransomware continua a rappresentare il rischio maggiore per la sicurezza dei dati aziendali, come negli ultimi anni. Il rapporto del fornitore di sicurezza ha evidenziato campagne come gli attacchi ransomware del gruppo Conti in Costa Rica (e successivamente in Perù) all’inizio di quest’anno come esempi di come gli attori delle minacce abbiano ampliato in modo significativo il loro obiettivo, alla ricerca di guadagni finanziari.
I pesci grossi del ransomware possono andare a pancia in su
Molti dei gruppi di ransomware più grandi sono cresciuti al punto da impiegare centinaia di hacker, da avere un fatturato di centinaia di milioni di dollari e da poter investire in attività quali team di ricerca e sviluppo, programmi di garanzia della qualità e negoziatori specializzati. Sempre più spesso, i gruppi di ransomware più grandi hanno iniziato ad acquisire capacità di attore nazionale, avverte Check Point.
Allo stesso tempo, l’attenzione diffusa che questi gruppi hanno iniziato a raccogliere da parte dei governi e delle forze dell’ordine li incoraggerà probabilmente a mantenere un profilo legale, afferma Check Point. Il governo degli Stati Uniti, ad esempio, ha offerto una ricompensa di 10 milioni di dollari per informazioni che portino all’identificazione e/o all’arresto di membri di Conti, e di 5 milioni di dollari per i gruppi sorpresi a utilizzare Conti. Si pensa che il calore abbia contribuito alla decisione del gruppo Conti di cessare le attività all’inizio di quest’anno.
“Il gruppo di ransomware Conti ci insegnerà qualcosa”, afferma Check Point nel suo rapporto. “Le sue dimensioni e la sua potenza hanno attirato troppa attenzione e sono diventate la sua rovina. In futuro, crediamo che ci saranno molti gruppi medio-piccoli invece di pochi grandi, in modo da poter passare più facilmente sotto il radar”.
