Cerca

Il fenomeno in aumento degli Initial Access Brokers

I broker di accesso iniziale sono in aumento, i criminali informatici sono diventati dei veri e propri professionisti e le PMI hanno un obiettivo crescente sulle loro spalle.


Questa è una delle conclusioni uscite dal Report Blackerry 2022.


Anni fa, il Ponemon Institute esaminò le PMI di tutto il mondo, concludendo che oltre il 70% delle PMI finiva target di un attacco informatico ad un certo punto. Il 60% delle vittime fu costretto a cessare l'attività entro sei mesi.


Sebbene tre anni siano un tempo lungo, BlackBerry ritiene che i numeri siano molto rilevanti. Nel suo Threat Report 2022, l'organizzazione afferma che le PMI sono un obiettivo crescente per i criminali informatici.


Ciò non significa che le grandi aziende debbano affrontare rischi in diminuzione. I criminali informatici stanno semplicemente riuscendo a eseguire un numero maggiore di attacchi. Stanno diventando dei veri e proprio professionisti, lavorando con infrastrutture di livello industriale e trovando modelli di reddito da investire nello sviluppo continuo.


Le organizzazioni criminali sono sorprendentemente simili a quelle che vengono derubate. I payload dannosi sono persino ospitati da provider cloud legittimi. BlackBerry ha analizzato 7.000 cobalt strike team server e 60.000 beacon nell'ultimo anno. Nel 2021, la maggior parte dei payload Cobalt Strike sono stati ospitati da Tencent Computing, un fornitore legittimo a Shenzhen, in Cina. Una percentuale considerevole è stata eseguita su server di Amazon e DigitalOcean.

Cobalt Strike, un framework per gli attacchi informatici, è progettato per i pentester. Ironia della sorte, i criminali informatici utilizzano il framework per eseguire attacchi reali.


Zebra 2014, Initial Access Broker professionali

Nell'ultimo anno, diverse organizzazioni hanno evidenziato l'aumento dei broker di accesso iniziale. BlackBerry si è imbattuto anche nella relativamente nuova forma di criminalità organizzata.


Il Threat Research and Intelligence Team sta attualmente indagando su "Zebra2104", un nome inventato per un gruppo criminale anonimo. Zebra2104 gestisce un'infrastruttura utilizzata da più organizzazioni criminali per distribuire vari payload.


Inizialmente, i ricercatori pensavano che l'infrastruttura fosse condivisa da tre gruppi di malware: MountLocker, Phobos e Promethium. Non è una cattiva ipotesi, dal momento che i fornitori di Ransomware-as-a-Service utilizzano infrastrutture condivise e sono cresciuti costantemente negli ultimi anni.

La teoria aveva un problema. I gruppi di ransomware tradizionali distribuiscono i loro payload abbastanza rapidamente dopo un'intrusione. C'è stato un certo ritardo tra l'intrusione e la distribuzione del payload sull'infrastruttura indagata. Quindi, i ricercatori hanno concluso che Zebra2104 è specializzata in intrusioni tramite Cobalt Strike, dopo di che gli aggressori ransomware pagano per distribuire payload in organizzazioni violate. Zebra2104 è un esempio da manuale di un broker di accesso iniziale.


Grazie al Threat Hunting, che, pilotato da tecnologie di Intelligenza Artificiale, è in grado di rilevare possibili attaccanti all’interno dell’infrastruttura che non hanno ancora iniziato la fase reale dell’attacco ma che sono ancona nella fase iniziale della ricognizione, andando quindi a prevenire la suddetta fase.

Come nel caso della tecnologia innovativa di Cybowall, la sol

uzione di Attack Hunter basata sull' intelligenza artificiale, un Machine Learning autonomo e un motore di caccia agli attacchi in più fasi.