Secondo una nuova ricerca, la criminalità informatica organizzata ha acquisito la forza economica per portare avanti in piena autonomia una serie di attacchi digitali, senza fare più ricorso alla sponsorizzazione di qualche governo
Patrick Howell O’Neill
Gli exploit zero-day, che aiutano a garantire a un hacker l’accesso a un obiettivo prescelto, sono così chiamati perché chi si difende ha avuto zero giorni per porre rimedio alle vulnerabilità. Nella fascia più alta, l’acquisto o lo sviluppo di questo tipo di attacco possono costare più di un milione di dollari. Per questo motivo, gli arsenali dei più sofisticati gruppi di spionaggio informatico sono sempre stati sponsorizzati da uno stato.
Ma una nuova ricerca della società di sicurezza informatica Mandiant mostra che in un anno da record per gli attacchi cibernetici, la percentuale di zero-day sfruttata dai criminali informatici sta crescendo. Secondo la ricerca di Mandiant, un terzo di tutti i gruppi di hacker che sfruttano gli zero-day nel 2021 erano criminali motivati finanziariamente rispetto ai gruppi di spionaggio informatico sostenuti dal governo. Nell’ultimo decennio, solo una piccolissima frazione di zero-day è stata utilizzata dai criminali informatici. Gli esperti ritengono che il rapido cambiamento abbia a che fare con il settore del ransomware illecito e multimiliardario.
“I gruppi di ransomware sono stati in grado di reclutare nuovi talenti e di utilizzare le risorse derivanti dalle loro operazioni di ransomware e dalle enormi quantità di entrate che stanno ottenendo per concentrarsi su quello che un tempo era il dominio dei gruppi di cybercriminali sponsorizzati dallo stato, ” afferma James Sadowski, ricercatore di Mandiant.
Gli zero-day vengono in genere acquistati e venduti nell’ombra, ma quello che si sa mostra solo quanti soldi sono in gioco. Un recente rapporto dettagliato di “MIT Technology Review” ha mostrato in che modo un’azienda americana ha venduto un potente iPhone zero-day per 1,3 milioni di dollari. Zerodium, un’azienda di sicurezza americana fornitrice di zero-day, ha un’offerta permanente per pagare 2,5 milioni di dollari per qualsiasi zero-day che dia all’hacker il controllo di un dispositivo Android.
Zerodium poi rivende l’exploit a un’altra organizzazione, spesso un’agenzia di intelligence, con un ricarico significativo. I governi sono disposti a pagare perché gli zero day possono essere una carta vincente nel gioco globale dello spionaggio, potenzialmente del valore ben superiore ai milioni di dollari che un’agenzia può spendere. Ma chiaramente valgono molto anche per i criminali. Un gruppo di ransomware particolarmente aggressivo e abile, noto con il nome in codice UNC2447, ha sfruttato una vulnerabilità zero-day in SonicWall, uno strumento di rete privata virtuale utilizzato dalle principali società di tutto il mondo. Gli hacker hanno utilizzato il ransomware e hanno ricattato le vittime minacciando di informare i media degli hack o di vendere i dati delle aziende sul dark web.
Forse il gruppo di ransomware più famoso della storia recente è Darkside, gli hacker che hanno causato la chiusura del Colonial Pipeline e, di conseguenza, una carenza di carburante per gli Stati Uniti orientali. Sadowski dice che anche loro hanno sfruttato almeno uno zero day durante il loro breve, ma intenso periodo di attività. Subito dopo essere diventato famoso in tutto il mondo e aver attirato le attenzioni indesiderate delle forze dell’ordine che derivano dalla fama, Darkside ha chiuso, ma da allora il gruppo potrebbe semplicemente aver cambiato nome.
Per un hacker, l’opportunità migliore dopo uno zero-day potrebbe essere una vulnerabilità di uno o due giorni, vale a dire una falla nella sicurezza scoperta di recente ma non ancora risolta. Oltre ai rapidi progressi anche in questo tipo di attacchi, i gruppi di criminalità informatica “stanno rapidamente prendendosi lo spazio prima occupato dagli attacchi sponsorizzati da uno stato”, afferma Adam Meyers, vicepresidente senior dell’intelligence della società di sicurezza Crowdstrike. I criminali osservano l’utilizzo degli zero-day e poi si precipitano a cooptare gli strumenti per i propri scopi prima che la maggior parte dei cyber-difensori sappia cosa sta succedendo.
I malintenzionati possono reclutare e pagare talenti tecnici perché stanno facendo più soldi che mai. E la prospettiva di ulteriori guadagni è un enorme incentivo a passare rapidamente all’adozione degli zero-day per i propri scopi. L’anno scorso, per esempio, i gruppi di hacker sponsorizzati dal governo cinese hanno iniziato a prendere di mira i server di posta elettronica di Microsoft Exchange con attacchi zero-day in una campagna diffusa guidata da alcuni dei più sofisticati operatori di spionaggio informatico del paese. Come succede con i predatori in natura, sono seguiti gli spazzini. I criminali informatici motivati solo dal profitto facile hanno preso in mano la situazione in pochi giorni, scalzando chi aveva promosso l’operazione.
Immagine: Ms Tech / Envato