Sophos ha evidenziato le modalità con cui le gare a scopo di ricerca organizzate dai forum cybercriminali aiutano a mettere a punto nuovi metodi di attacco e aggiramento dei rilevamenti.
Queste competizioni, che si ispirano alle ‘Call for Papers’ delle conferenze promosse dagli operatori della sicurezza, assegnano premi in denaro, riconoscimenti e anche potenziali incarichi lavorativi. Come sottolineato nell’ultimo report Sophos X-Ops dal titolo “For the Win? Offensive Research Contests on Criminal Forums”, queste gare clandestine sono ideate per identificare tecniche di attacco innovative, mentre l’analisi dei lavori presentati fornisce indicazioni preziose sul modo in cui i cybercriminali tentano di superare gli ostacoli posti a protezione delle loro vittime.
Nonostante i forum criminali organizzino gare di questo genere da lungo tempo, esse si sono evolute negli anni. Le prime edizioni riguardavano quiz, concorsi di design grafico e indovinelli. Oggi invece i partecipanti vengono invitati a sottoporre articoli su argomenti tecnici completi di codice sorgente, video e/o schermate. Una volta pubblicati, gli articoli vengono votati dagli utenti dei forum per proclamare il vincitore. Il processo non è tuttavia completamente trasparente dal momento che sia i gestori dei forum che gli sponsor delle competizioni hanno poteri di voto aggiuntivi.
“Il fatto che i cybercriminali organizzino queste competizioni, vi partecipino e persino le sponsorizzino suggerisce che i progressi di tattiche e tecniche rappresentino un obiettivo comunitario. Vi sono persino prove che indicano come queste gare funzionino anche da strumento di recruiting per i principali gruppi organizzati”, ha dichiarato Christopher Budd, director of threat research di Sophos. “Per quanto le nostre indagini mostrino una crescente attenzione nei confronti delle tematiche Web-3 come criptovalute, smart contract e NFT, molti dei lavori premiati hanno un campo di applicazione più ampio e possono essere utilizzati nella pratica anche se non sono particolarmente originali. Ciò può essere una conseguenza delle priorità della community ma anche un’indicazione di come i cybercriminali conservino le ricerche più efficaci per sé dal momento che possono guadagnarci di più mettendole a frutto nel contesto di attacchi effettivi”.
Sophos X-Ops ha analizzato due importanti competizioni annuali: la prima organizzata dal forum in lingua russa Exploit, avente un premio di 80.000 dollari per il vincitore dell’edizione 2021, e la seconda promossa dal forum XSS con un montepremi 2022 di 40.000 dollari. Famosi esponenti della community cybercriminale come All World Cards e Lockbit sono soliti sponsorizzare queste iniziative da diversi anni.
Nelle edizioni più recenti, Exploit ha dedicato la competizione alle criptovalute, mentre XSS ha aperto a una ampia gamma di tematiche comprendenti social engineering, vettori di attacco, tecniche di evasione e truffe. Molti dei lavori premiati hanno riguardato l’abuso di tool legittimi come Cobalt Strike. Tra i lavori presentati si sono visti un tutorial dedicato alle ICO (Initial Coin Offering) per la raccolta di fondi destinati a criptovalute di nuova creazione e un articolo sulla manipolazione dei privilege token per disabilitare Windows Defender.