Lezione del 12/03/2024
Elementi del cyberspace: persone, dati, software e servizi, hardware. La situazione piu’ comune per le aziende oggi e’ quella di avere computer in rete che eseguono applicativi/protocolli. Dove si attacca? Tutto, tutte queste risorse sono vulnerabili a diverse ripologie di attacche, dipende da caso a caso. Il mezzo e’ la rete alla fine, quello che connette tutto quanto. Che obiettivi finali hanno? Soldi, tipicamente si vogliono rubare direttamente soldi o almeno andare a chiedere un riscatto di qualche tipo. Oppure rubo dati perche’ quei dati sono monetizzabili o hanno un valore intrinseco perche’ mi aiutano ad andare a fare attacchi o sono proprieta’ intellettuali, o mi aiutano a fare altri attacchi. Oppure voglio fare un DOS, sto facendo un danno commerciale alla fine. Le vulnerabilita’ alla fine sono sempre umane (anche la progettazione sbagliata del software/hardware). Qualunque asset che concorre al corretto funzionamento del sistema informativo si espone ad essere attaccato. Il danno piu’ grave ovviamente va valutato da azienda ad azienda, in base a che cosa si occupa l’azienda in questione.
Dobbiamo cercare di progettare sistemi che sia gia’ robusti, ma gli attaccanti e i difensori hanno capacita’ e ambiti di azioni diversi, non e’ un gioco alla pari. Ci sono molte differenze:
I difensori si attaccano al tram praticamente, quindi non e’ assolutamente una guerra alla pari, anzi siamo completamente squilibrati.
Ci sono diversi tipi di criminali, per sempio di sono quelli in proprio, i Contractor: rubano informazioni, rubano denaro, lavorano per conto di terzi ed offrono servizi. C’e’ una filiera della criminalita’ vera e propria, come se fossero servizi cloud etc. …
Ci sono anche persone che pagano altri qualora trovino vulnerabiltia’ → zerodium. E’ interessante segnalare loro vulnerabilita’ direttamente a loro piuttosto che alla aziende perche’ pagano tantissimo. Parla anche di mercati sommersi in cui vengono venduti i dati, quindi tutta la questione del deepweb e black market. Vedi hack forums per robe interessanti. Solitamente per andare ad accedere a questi servizi si usa TOR come browser e si usano crypto valute.
Questi marketplace hanno comunque un concetto di reputazione. Ci sono interi gruppi criminali che tengono in piedi questi market.
Come me lo sono beccato? Come funziona? Come ce lo siamo preso?
GLi operatori definiscono strategie, selezionano e verificano gli affiliati e sono i provider del malware as a service. Non conducono mai attacchi e non hanno capacita’ tecniche. Questi appaltano tutto ai devs e li pagano come se fosse praticamente lavoro da ufficio vero e proprio! C’e’ quindi sia il malware sia il programma per la gestione del malware, e’ una cosa professionale davvero.
Ci sono anche gli affiliati che noleggiano malware e comprano accessi dai broker e percepiscono una percentuale da eventuali riscatti. Poi pero’ biosgna vedere se sono affidabili o meno, questi hanno capacita’ tecnica scarse, ma hanno conoscenza di settori specifici quindi possono essere d’aiuto per fare target su obiettivi fatto bene.
I broker ottengono accessi illeciti ai sistemi delle vittime. Utilizzano tecniche opportunistiche, mirate e valutano quanti accessi sono riusciti ad ottenere. Praticamente vendono accessi!
Per quel che riguarda gli specialisti sono praticamente attacchi informatici estremamente specializzati e conducono attivita’ tailor-made praticamente.
I negoziatori invece praticamente trattano rispetto all’ammontare del riscatto, uso quando la vittima non paga. Sono figure a parte che contattano la vittima via mail anonima o sistema di chat all’interno del ransomware service. Queste trattative possono andare avanti per giorni e possono offrire sconti o fare pressioni di alcun tipo. Ti danno anche una mano a pagare e recuperare tutti quanti i dati, questo sempre perche’ alla fine tutto il processo deve funzionare per essere dei criminali onesti.
Adesso il costo si e’ abbassato tanto per fare questi tipi di attacchi in realta’, perche’ abbiamo una filiera molto matura, con sistemi sofisticati e che e’ interessante andare ad applicare praticamente a tutti i tipi di imprese, tanto costa poco e il ROI e’ molto alto alla fine anche per gli operatori, tolte tutte le quote.
Puoi andare a vedere su ransomwatch che sono aggregatori, che funzionano come una sorta di vetrina, in cui ci sono i gruppi che nascono e muoiono. Sul sito puoi anche andare a vedere gli operatori, si consiglia di andare a vedere tutto con tor, magari in VM.
