Gli Initial Access Broker (IAB) sono una minaccia crescente per le aziende, secondo una ricerca di Group-IB. Questi IAB trovano aziende vulnerabili e vendono l’accesso ad altri criminali informatici. Rende più facile il lavoro degli operatori di ransomware. Di conseguenza, anche il numero di attacchi ransomware è in aumento. Abbiamo parlato dello sviluppo con il nuovo CEO di Group-IB, Dmitry Volkov.
I criminali informatici sono noti per adattare costantemente le loro tecniche al fine di continuare ad attaccare aziende e individui. In tal modo, rispondono anche alle innovazioni lato difesa. Dopotutto, se i criminali informatici utilizzano vecchie tattiche, alla fine non saranno più in grado di entrare nelle reti aziendali, perché la difesa sa esattamente come tenere a bada tutti gli attacchi obsoleti.
Per ottenere informazioni sull’innovazione, l’industria della sicurezza informatica sta facendo molte ricerche. Group-IB, ha recentemente pubblicato la sua indagine annuale. nel quale si sta facendo strada il ruolo crescente della collaborazione tra i criminali informatici.
Accesso alle aziende
La ricerca di Group-IB mostra principalmente che gli hacker stanno collaborando sempre di più. I reati individuali, come il carding, sono in declino. Secondo Volkov, l’aumento è dovuto al numero di tentativi di vendere l’accesso alle reti aziendali vulnerabili. Questa forma di criminalità informatica, nota anche come IAB, ha una barriera d’ingresso relativamente bassa. La scarsa gestione del rischio aziendale e la disponibilità di strumenti per attaccare le reti aziendali stanno facendo sì che il mercato IAB sia ai massimi storici, secondo lo studio.
A livello globale, il mercato dell’accesso alla rete è cresciuto da circa 5,49 milioni di euro a luglio 2019 a giugno 2020 a 6,36 milioni di euro nello stesso periodo dell’anno successivo. Non è una minaccia molto significativa quando si confrontano queste cifre con il mercato totale del crimine informatico, si potrebbe pensare, ma le cifre sottostanti rendono lo sviluppo preoccupante. Ad esempio, il numero di offerte di vendita di accesso è quasi triplicato, da 362 a 1.099. I forum nel dark web svolgono un ruolo in questo perché gli utenti possono accedervi facilmente. Ci sono forum a cui è possibile accedere tramite un normale browser Internet, anche se molti richiedono requisiti aggiuntivi come la rete TOR e i servizi VPN. Uno sviluppo preoccupante che Group-IB osserva sui forum è che il numero di broker di accesso iniziale attivi è aumentato in un anno da 86 a 262, con 229 nuovi venditori che sono entrati nella scena dello IAB nel periodo monitorato.
Gli Access Brokers, ad esempio, forniscono l’accesso alla rete attraverso un account di un dipendente regolare o di un top manager. In realtà si rivolgono a tutti i settori. L’industria manifatturiera, l’istruzione e i servizi finanziari si distinguono, ma l’attenzione è sempre più rivolta anche alle agenzie governative
Volkov
La figura seguente mostra la distribuzione per settore.
Volkov vede gli IAB come un problema globale che l’Europa non può ignorare. In un anno è stato offerto l’accesso a 261 società europee. Un aumento di tre volte rispetto a H2 2019 – H1 2020. Se questa crescita continua, gli IAB saranno una minaccia immensa nel prossimo futuro. Soprattutto in Francia, Regno Unito e Italia, devono fare i conti con la minaccia, dove ci sono relativamente molte aziende con reti vulnerabili a cui viene venduto l’accesso.
Ransomware senza precedenti
Volkov vede crescere il mercato dell’accesso iniziale principalmente a causa della popolarità degli attacchi ransomware. Gli IAB abbassano la barriera per gli operatori di ransomware, che non devono più cercare di entrare in una rete aziendale da soli. A causa della cooperazione tra gli IAB e gli operatori, Group-IB ora parla di un impero ransomware. Un’importante forza trainante aggiuntiva è l’aumento del numero dei cosiddetti programmi ransomware as a service (RaaS), in cui i criminali informatici avanzati sviluppano il malware e quindi lo offrono come servizio agli affiliati. Sono inoltre organizzate infrastrutture, tra cui pannelli di amministrazione, pannelli di comunicazione con le vittime, ecc. L’affiliato RaaS deve solo eseguire l’attacco.
Durante il periodo coperto dalla ricerca di Group-IB, la società ha identificato 21 nuovi programmi RaaS. Ciò rappresenterebbe una crescita annua del 19%. “I criminali informatici hanno imparato l’uso della tecnica della doppia estorsione grazie ai Data Leak Sites (DLS), che vengono utilizzati come ulteriore fonte di pressione sulle loro vittime per farle pagare il riscatto minacciando di far trapelare i loro dati. In pratica, tuttavia, le vittime possono ancora trovare i loro dati sul DLS anche se il riscatto viene pagato “, afferma Group-IB. Il numero di nuovi DLS è più che raddoppiato nell’arco di un anno.
Durante il periodo coperto dalla ricerca di Group-IB, la società ha identificato 21 nuovi programmi RaaS. Group-IB ha analizzato il ransomware Data Lake Sites 2021 e conclude che Conti è il gruppo ransomware più aggressivo. Questo gruppo ha causato 361 vittime, pari al 16,5% di tutte le aziende che hanno visto i dati finire sui DLS. Altri tipi di malware dannosi erano Lockbit (251 vittime), Avaddon (164) REvil (155) e Pysa (118). I settori manifatturiero, immobiliare e dei trasporti sono particolarmente colpiti dai siti di perdita di dati.
I dati in questo articolo provengono dal sistema Threat Intelligence & Attribution di Group-IB. L’azienda trae anche altre conclusioni sulla base dei dati. Una panoramica completa può essere trovata cliccando qui.
Problem Solver e Cyber Security Advisor, si occupa di sicurezza informatica e di Ethical Hacking da oltre 20 anni.
Da diversi anni tiene corsi di Ethical Hacking e consapevolezza della sicurezza informatica formando centinaia di persone nell’IT e migliaia di risorse aziendali.
Tre caratteristiche che lo distinguono:
- La passione/ossessione per le password
- Ha chiamato Hash anche il suo gatto
- Il papillon
Colore preferito? Verde, ovviamente!
