Sophos, azienda inglese che si occupa di sicurezza informatica, ha pubblicato il Threat Report 2023 dal quale emerge come lo scenario delle minacce cyber diventi ogni giorno più allettante e accessibile per gli aspiranti criminali informatici. L'espansione del cybercrimine, erogato in modalità "as-a-service", ha eliminato quasi ogni barriera di ingresso per i criminali informatici. Il report esamina inoltre i motivi per cui il ransomware si conferma una delle principali minacce per le aziende, data la costante innovazione delle tattiche di riscatto e la crescente domanda di credenziali rubate.
Nell'ultimo decennio, con la crescente popolarità del ransomware, si è sviluppata un'intera economia impostata sul modello di “ransomware-as-a-service".
Con l'espansione dell'economia “as-a-service", infatti, i marketplace clandestini si stanno trasformando sempre più in commodity, agendo come vere e proprie aziende: i cybercriminali non solo “pubblicizzano” i loro servizi, ma pubblicano anche offerte di lavoro per reclutare partner dotati di particolari competenze. Alcuni marketplace arrivano al punto di disporre di pagine dedicate per la ricerca del personale, mentre per chi è alla ricerca di un lavoro, può semplicemente pubblicare il proprio curriculum evidenziando le proprie capacità e qualifiche. “I primi a sfruttare le potenzialità del ransomware avevano un campo d'azione abbastanza limitato, perché le loro operazioni erano centralizzate e tutti gli aspetti di un attacco venivano gestiti all'interno dello stesso gruppo. Quando il ransomware è diventato estremamente redditizio, gli stessi cybercriminali hanno cercato un modo per rendere “scalabili” le loro attività, ed hanno quindi iniziato a esternalizzare parti delle loro operazioni in outsourcing creando un'intera infrastruttura di supporto”, ha affermato Gallagher. L'espansione dell'infrastruttura cybercriminale ha portato di conseguenza a una crescente diffusione e redditività del ransomware che, nell'ultimo anno, si è rivolta anche a piattaforme diverse da Windows, adottando nuovi linguaggi di programmazione come Rust e Go per evitare il rilevamento. Alcuni gruppi, in particolare Lockbit 3.0, hanno diversificato le loro attività creando sistemi più “innovativi” per chiedere il riscatto alle loro vittime.
“Quando parliamo delle crescenti capacità dei cybercriminali, bisogna estendere il discorso al mondo del ransomware. Lockbit 3.0, per esempio, propone ora programmi di bug bounty per il proprio malware e il “crowdsourcing” di idee per migliorare le operazioni della propria community criminale. Altri gruppi sono passati a un “modello in abbonamento” per l'accesso ai dati sottratti alle vittime, che vengono messi all'asta. Il ransomware è diventato soprattutto un business”, conclude Gallagher.
Questi cambiamenti non hanno incentivato solamente la crescita del ransomware e del modello “as-a-service", ma hanno anche incrementato la richiesta di furti di identità. Infatti, con l'espansione dei servizi Web possono essere sfruttate varie tipologie di credenziali, specialmente cookie, per ottenere una presenza più stabile e profonda all'interno delle reti colpite, scavalcando anche le protezioni multi fattoriali (Mfa). La sottrazione delle credenziali rimane uno dei sistemi più semplici, da qui un principiante cybercriminale può accedere ai marketplace clandestini e iniziare così la sua “carriera” criminale.