Le bande di ransomware sono ora abbastanza ricche da poter acquistare vulnerabilità zero-day, tradizionalmente solo appannaggio degli stati nazionali.
I criminali informatici stanno diventando più avanzati mentre continuano a trovare nuovi modi per fornire attacchi e alcuni sono ora disposti ad acquistare vulnerabilità zero-day, qualcosa di più tradizionalmente associato agli stati nazionali.
La conoscenza delle vulnerabilità e degli exploit può avere un prezzo elevato nei forum sotterranei perché essere in grado di trarne vantaggio può essere molto redditizio per i criminali informatici. Ciò è particolarmente vero se questa conoscenza coinvolge una vulnerabilità zero-day di cui i ricercatori sulla sicurezza informatica non sono a conoscenza, e questo perché gli aggressori sanno che le potenziali vittime non avranno avuto la possibilità di applicare aggiornamenti di sicurezza per proteggersi.
Ad esempio, nelle settimane successive alla divulgazione delle vulnerabilità di Microsoft Exchange all’inizio di quest’anno, i criminali informatici si sono affrettati a trarne vantaggio il più rapidamente possibile per beneficiare della capacità di eseguire attacchi prima che le patch di sicurezza venissero ampiamente applicate.
Le vulnerabilità zero-day vengono solitamente implementate da operazioni di hacking con risorse adeguate e sostenute dallo stato-nazione, ma da un’analisi di ricercatori di cybersecurity emerge come ci siano quantità sempre più crescenti di chiacchiere nelle bacheche del dark web sul mercato criminale per i zero day.
Questo mercato è estremamente costoso e competitivo, ed è solitamente una prerogativa dei gruppi di minacce sponsorizzati dallo stato. Tuttavia, alcuni gruppi di criminali informatici di alto profilo hanno accumulato incredibili fortune negli ultimi anni e possono ora competere con i tradizionali acquirenti di exploit zero-day.
Succede che gli stati possono acquistare gli exploit zero-day in modo legale da aziende che si dedicano esclusivamente alla creazione di questi strumenti, tuttavia, quando questi strumenti sono sviluppati da criminali informatici al di fuori della legge, è probabilmente più facile identificare la clientela dal mondo dei criminali informatici; ma, c’è solo una manciata di attori criminali informatici che potrebbero permettersi il costo di un exploit zero-day.
Questi tipi di vulnerabilità possono costare milioni di dollari, ma questo è un prezzo che potrebbe essere abbordabile per un gruppo di ransomware di successo, che fa guadagnare milioni da ogni attacco ransomware riuscito e potrebbero facilmente recuperare ciò che spendono se la vulnerabilità funziona come previsto fornendo un mezzo affidabile per infiltrarsi nelle reti.
C’è da sottolineare un altro metodo per fare soldi dalle vulnerabilità in fase di esplorazione, ed è uno che potrebbe metterle nelle mani di criminali informatici meno sofisticati: qualcosa noto come “exploit-as-a-service“.
Invece di vendere a titolo definitivo la vulnerabilità, il criminale informatico che l’ha scoperta può darla in affitto ad altri. Questo approccio potenzialmente rende i soldi più veloci rispetto a se passassero attraverso il complesso processo di una vendita e potrebbero continuare a guadagnarci per molto tempo. Hanno anche la possibilità di vendere eventualmente il zero-day se si stancano di affittarlo.
Questo modello consente agli sviluppatori zero-day di generare guadagni sostanziali affittando lo zero-day in attesa di un acquirente definitivo. Inoltre, con questo modello, i noleggiatori potrebbero testare lo zero-day proposto e successivamente decidere se acquistare l’exploit su un’esclusiva o su base non esclusiva.
La vendita a gruppi di hacker sostenuti dal governo è ancora l’opzione preferita per alcuni sviluppatori zero-day per ora, ma un crescente interesse per exploit come questo sui forum sotterranei indica come alcuni gruppi di criminali informatici si stiano avvicinando al livello delle operazioni sostenute dallo stato.
L’ascesa del modello di business exploit-as-a-service conferma che l’ambiente criminale informatico è in costante crescita sia in termini di sofisticatezza che di professionalizzazione. Alcuni gruppi criminali di alto profilo possono ora competere in termini di competenze tecniche con organizzazioni sponsorizzate dallo stato attori; molti importanti gruppi di ransomware in particolare hanno ora accumulato risorse finanziarie sufficienti per acquistare zero-day pubblicizzati in ambienti illeciti”.
La natura delle vulnerabilità zero-day significa che difendere le reti contro di esse è un compito difficile, meglio prevenire la possibilità di attaccare grazie a metodologie come la DECEPTION.
Oltre che buone pratiche di cyber security come l’applicazione di aggiornamenti di sicurezza critici non appena vengono rilasciati in modo da impedire ai criminali informatici di avere una lunga finestra per sfruttare le vulnerabilità. Le organizzazioni dovrebbero anche avere un piano su cosa fare se scoprono di essere state violate.