Advanced Persistent Threat
Ricerche sulle CyberMinacce

Sophos Threat Report 2023: il ransomware si conferma una delle principali minacce per tutte le aziende

Con attacchi ransomware sempre più innovativi e furti di credenziali raddoppiati, i cybercriminali danno vita a un vero e proprio mercato 
delle minacce informatiche

 Sophos presenta il nuovo Sophos Threat Report 2023, che evidenzia come lo scenario delle cyberminacce diventi ogni giorno più allettante e accessibile per gli aspiranti criminali informatici, che possono contare su un vero mercato dove acquistare minacce sempre più facili da reperire.  

L’espansione del cybercrimine erogato in modalità as-a-service ha eliminato quasi ogni barriera di ingresso per i criminali informatici. Il report esamina inoltre i motivi per cui il ransomware si conferma una delle principali minacce per le aziende data la costante innovazione delle tattiche di riscatto e la crescente domanda di credenziali rubate.  

Marketplace criminali clandestini come Genesis permettono da tempo di acquistare malware e servizi per il relativo deployment (“malware-as-a-service”), oltre che di vendere credenziali rubate e altri dati in grande quantità. 

Nell’ultimo decennio, con la crescente popolarità del ransomware, si è sviluppata un’intera economia impostata sul modello di “ransomware-as-a-service“. Oggi, questo approccio “as-a-service” si è ulteriormente ampliato rendendo disponibile all’acquisto praticamente ogni elemento del toolkit dei cybercriminali, dalla compromissione iniziale fino alla possibilità di evadere il rilevamento.

“Non si tratta della solita vendita di kit per il phishing, il malware e gli scam”, dichiara Sean Gallagher, principal threat researcher di Sophos. “Adesso i cybercriminali di alto livello vendono sotto forma di servizio per conto terzi, tool e capacità che un tempo erano esclusivamente riservati ai più esperti. Per esempio, nell’ultimo anno abbiamo rilevato un sensibile incremento di proposte OPSEC-as-a-service, nelle quali i venditori si offrivano di aiutare i malintenzionati a nascondere le infezioni Cobalt Strike, oltre a pacchetti scanning-as-a-service che fornivano agli acquirenti l’accesso a tool commerciali legittimi come Metasploit per poter identificare e quindi sfruttare eventuali vulnerabilità. La trasformazione in commodity di quasi ogni aspetto del cybercrimine sta avendo un impatto sullo scenario delle minacce aprendo opportunità per qualsiasi tipo di cybercriminale, indipendentemente dal suo grado di abilità”.

Con l’espansione dell’economia “as-a-service”, i marketplace cybercriminali clandestini stanno trasformandosi sempre più in commodity agendo come vere e proprie aziende: i cybercriminali non solo “pubblicizzano” i loro servizi, ma pubblicano anche offerte di lavoro per reclutare partner dotati di particolari competenze. Alcuni marketplace arrivano al punto di disporre di pagine dedicate per la ricerca del personale, mentre per chi è alla ricerca di un lavoro, può semplicemente pubblicare il proprio curriculum evidenziando le proprie capacità e qualifiche.

“I primi a sfruttare le potenzialità del ransomware avevano un campo d’azione abbastanza limitato perché le loro operazioni erano centralizzate: tutti gli aspetti di un attacco venivano gestiti all’interno dello stesso gruppo. Quando il ransomware è diventato estremamente redditizio, gli stessi cybercriminali hanno cercato un modo per rendere scalabili loro attività. Hanno quindi iniziato a esternalizzare parti delle loro operazioni in outsourcing creando un’intera infrastruttura a supporto del ransomware. Altri cybercriminali si sono ispirati al successo ottenuto da questa infrastruttura agendo di conseguenza”, afferma Gallagher. 

L’espansione dell’infrastruttura cybercriminale ha portato di conseguenza a una crescente diffusione e redditività del ransomware che, nell’ultimo anno, si è rivolta anche a piattaforme diverse da Windows, adottando nuovi linguaggi di programmazione come Rust e Go per evitare il rilevamento.

Alcuni gruppi, in particolare Lockbit 3.0, hanno diversificato le loro attività creando sistemi più “innovativi” per chiedere il riscatto alle loro vittime. 

“Quando parliamo delle crescenti capacità dei cybercriminali, bisogna estendere il discorso al mondo del ransomware. Lockbit 3.0, per esempio, propone ora programmi di bug bounty per il proprio malware e il “crowdsourcing” di idee per migliorare le operazioni della propria community criminale. Altri gruppi sono passati a un “modello in abbonamento” per l’accesso ai dati sottratti alle vittime, che vengono messi all’asta da altri ancora. Il ransomware è diventato soprattutto un business”, conclude Gallagher.

Questi cambiamenti in atto non hanno incentivato solamente la crescita del ransomware e del modello “as-a-service”, ma hanno anche incrementato la richiesta di furti di identità. Infatti, con l’espansione dei servizi Web possono essere sfruttate varie tipologie di credenziali, specialmente cookie, per ottenere una presenza più stabile e profonda all’interno delle reti colpite, scavalcando anche le protezioni MFA. La sottrazione delle credenziali rimane uno dei sistemi più semplici, da qui un principiante cybercriminale può accedere ai marketplace clandestini e iniziare così la sua “carriera” criminale.

Il Threat Report di Sophos evidenzia altri temi interessanti: 

  • La guerra in Ucraina ha avuto ripercussioni globali sullo scenario delle cyberminacce. Subito dopo l’invasione si è verificata un’esplosione di truffe a scopo finanziario, mentre motivazioni nazionalistiche hanno portato alla rottura delle tradizionali alleanze criminali tra ucraini e russi, in particolare tra gli affiliati a gruppi ransomware.
  • I criminali continuano a sfruttare programmi e componenti legittime del sistema operativo per penetrare e diffondere varie tipologie di malware, ransomware compreso. Una tattica nota come “Living of the Land” (LOL). Esistono diversi tipo di tecniche, in particolare, con la tecnica LOLBins, utilizzano file binari di Windows per nascondere le attività dannose. In alcun casi i cybercriminali installano driver di sistema legittimi ma vulnerabili in quelli che sono ormai noti come attacchi “bring your own driver nel tentativo di neutralizzare i prodotti EDR (Endpoint Detection and Response) e non farsi rilevare.
  • I dispositivi mobili sono oggi al centro di nuove tipologie di cybercrimini. Non solo i criminali informatici utilizzano ancora finte applicazioni per distribuire iniettori di malware, spyware e malware bancario, ma stanno diffondendosi anche nuove forme di cyberfrodi come gli schemi di “pig butchering”. Queste truffe non riguardano più solamente gli utenti Android, ma colpiscono anche gli utenti iOS.
  • La svalutazione di Monero, una delle criptovalute più popolari tra i cryptominer, ha provocato la contrazione di una delle più vecchie e diffuse tipologie di cybercrimine – il cryptomining. Ma il malware per il mining di criptovalute continua a circolare attraverso “bot” automatizzati sui sistemi Windows e Linux.

Per maggiori informazioni sullo scenario delle minacce del 2022 e sulle sue conseguenze per i team responsabili della sicurezza nel 2023 è possibile leggere la versione integrale del Sophos Threat Report 2023. 

Il Sophos Threat Report 2023 è realizzato grazie alla ricerca e agli insight di Sophos X-Ops, una nuova business unit trasversale che unisce tre team di esperti di Sophos in cybersicurezza (SophosLabs, Sophos SecOps e Sophos AI). Sophos X-Ops riunisce più di 500 esperti di tutto il mondo, in grado di offrire un quadro completo e multidisciplinare su un panorama di minacce sempre più complesso. Per restare informati sugli sviluppi quotidiani di cyberattacchi e TTP è possibile seguire Sophos X-Ops su Twitter e abbonarsi per ricevere articoli e report aggiornati dalla prima linea della cybersicurezza.