Business is Business: apparentemente, anche gli aggressori online e i criminali informatici amano cercare affari.
L'economia sommersa è in piena espansione, fomentata da un settore dei ransomware in crescita e in evoluzione. Il Dark Web ha ora centinaia di fiorenti mercati in cui è possibile ottenere un'ampia varietà di prodotti e servizi ransomware professionali a una varietà di fasce di prezzo
Per darvi una dei listini prezzi che circolano nella Dark Web, perché di fatto è un vero e proprio market place, vi riportiamo i risultati usciti da una recente analisi dei ricercatori di Forensic Pathways.
Tale ricerca ha rilevato che dei 174 exploit trovati pubblicizzati sul Dark Web, il 91% costa meno di $ 10. Il costo medio per le credenziali rubate per l'accesso a un'istanza di Remote Desktop Protocol è di soli $ 5. Il prezzo medio per i Trojan di accesso remoto è di $ 3. Le credenziali, gli exploit e gli strumenti disponibili riducono la barriera all'ingresso per i principianti e consentono loro di creare facilmente una cassetta degli attrezzi di attacco efficace.
Solo una piccola minoranza di criminali informatici codifica davvero, la maggior parte lo usa solo per soldi, e la barriera all'ingresso è così bassa che quasi chiunque può essere un attore di minacce
Lo studio ha anche rilevato che i mercati del Dark Web devono anche fare i conti con frodi e clienti inaffidabili. I mercati hanno adottato strategie antifrode come consentire ai clienti di valutare i fornitori con cui hanno lavorato, richiedere ai fornitori di offrire un'obbligazione di migliaia di dollari e consentire pagamenti a garanzia.
Al giusto prezzo, gli attori delle minacce possono ottenere qualsiasi cosa desiderino per lanciare un attacco ransomware, anche senza competenze tecniche o alcuna esperienza precedente. I ceppi di ransomware possono essere acquistati direttamente sul Dark Web, e. alcuni "venditori" offrono servizi aggiuntivi come supporto tecnico e componenti aggiuntivi a pagamento come processi unkillable per attacchi ransomware, oltre a tutorial.
A questo si aggiunge il crescente utilizzo tra gli attori ransomware dei servizi di accesso iniziale, per prendere piede su una rete target. I broker di accesso iniziale (IAB) sono attori delle minacce che vendono l'accesso a una rete precedentemente compromessa ad altri attori delle minacce, come ben spiegato nel nostro ebook Gli Initial Access Broker
Un'esplosione di ransomware promuove il fiorente ecosistema del Dark Web. In un'analisi di 35 milioni di URL Dark Web tra novembre 2021 e marzo 2022, i ricercatori di Venafi e Forensic Pathways hanno scoperto 475 siti pieni di elenchi di ceppi di ransomware, codice sorgente di ransomware, servizi di build e sviluppo personalizzato e ransomware-as-a- offerte di servizi. C'erano 30 diverse famiglie di ransomware elencate per la vendita sulle pagine, inclusa una versione personalizzata di DarkSide, il ransomware utilizzato nell'attacco Colonial Pipeline. Quella variante aveva un prezzo di $ 1.262, secondo il rapporto. C'erano varianti disponibili a partire da $ 0,99.
L'abuso delle identità delle macchine vedrà anche il ransomware passare dall'infezione dei singoli sistemi all'acquisizione di interi servizi, come un servizio cloud o una rete di dispositivi IoT.
In un report che ha esaminato Genesis, uno dei primi mercati a tutti gli effetti per i broker di accesso iniziale, è stato rilevato che Genesis attualmente elenca più di 400.0000 bot in più di 200 nazioni, tra cui Italia, Francia e Spagna. Gli aggressori non vogliono perdere tempo o fatica in ricognizioni e infiltrazioni e Genesis offre agli aggressori gli strumenti per prendersi cura di queste attività. Genesis informa anche i suoi utenti quando le informazioni rubate cambiano o vengono aggiornate come parte della sua funzione di servizio clienti.