Di Trevor Hilligoss, SpyCloud.
Malware-as-a-service (MaaS) è un’economia in crescita nel sottosuolo criminale, che apre le porte a ransomware, frode di identità e altri crimini informatici. L’aumento della popolarità del malware per il furto di credenziali (noto anche come infostealer) è particolarmente una grande preoccupazione per le organizzazioni perché può rubare i dati di autenticazione dei dipendenti direttamente dai dispositivi dei dipendenti (gestiti o non gestiti), consentendo ai criminali informatici di impersonare quegli individui – e basta pochi secondi.
Probabilmente hai sentito molto che i criminali informatici diventano sempre più sofisticati. Ma non ci vuole molto buon senso per sfruttare gli infostealer. Chiunque abbia un paio di centinaia di dollari e qualche minuto libero può lanciare una campagna di malware, soprattutto considerando che ci sono anche persone che eseguiranno l’installazione per te.
Per immaginare l’entità della minaccia, considera il Raccoon Infostealer che è stato nelle notizie di recente. Il Dipartimento di Giustizia degli Stati Uniti ha recentemente incriminato la mente dietro il malware, un cittadino ucraino di 26 anni. Come parte della sua indagine, il DOJ ha trovato più di 50 milioni di credenziali di accesso univoche che sono state sottratte da endpoint infetti, ma ciò non tiene conto di tutto ciò che potrebbe ancora circolare sulla rete oscura.
La barriera all’ingresso per questo infostealer è praticamente nulla. Venduto nei mercati clandestini per circa $ 200 al mese, Raccoon era completo di tutti gli strumenti necessari per infettare i dispositivi e rubare i dati, inclusa una dashboard che consentiva al cliente di scaricare i dati rubati e creare configurazioni di malware individuali che potevano essere utilizzate per prendere di mira una varietà di privati o aziende. E anche se il governo degli Stati Uniti ha smantellato l’infrastruttura di Raccoon, la banda dietro questo MaaS è tornata in attività. Raccoon 2.0 viene pubblicizzato come una versione nuova e migliorata, con ancora più funzionalità.
Uno degli strumenti che consente agli attori malintenzionati di eseguire ampi attacchi di infostealer sono le “botnet” o reti di robot. Mentre gli infostealer sono spesso una delle parti più dannose del pacchetto, le botnet possono amplificare la portata e l’efficacia di una campagna automatizzando la parte di accesso iniziale del ciclo di attacco. Anche le botnet possono essere una specie di doppio smacco: devi preoccuparti non solo che i dati critici vengano sottratti su larga scala, ma anche che i dispositivi dei dipendenti diventino parte di questa rete.
L’evoluzione delle botnet
Le botnet sono state notoriamente utilizzate per lanciare attacchi DDoS (Distributed Denial-of-Service), come la botnet BredoLab del 2010 che, al suo apice, comprendeva oltre 30 milioni di singole macchine. Oggi le botnet si sono evolute per distribuire malware, compresi gli infostealer, spesso progettati per lasciare tracce minime o nulle sul dispositivo bersaglio. Questo malware spesso vola sotto il radar rimuovendosi dopo l’esecuzione, quindi qualsiasi segno viene eliminato quando il computer viene riavviato.
Dotati di strumenti come i moderni infostealer e altri mezzi per ottenere l’accesso iniziale, gli aggressori possono spesso prendere piede su una rete in pochi minuti. Il cloud lo rende ancora più semplice, poiché un utente malintenzionato può ridimensionare tale processo in modo tale da poter infettare migliaia di computer con poche interazioni manuali e sottrarre passivamente dati sensibili da una vasta rete di host infetti.
Grazie all’economia sommersa, chiunque può acquistare una botnet o pagare un infostealer, estrarre le credenziali che ha sottratto, creare un elenco combinato (combinazioni di nome utente e password) e lanciarlo contro un elenco di siti mirati per provare ad accedere ad altri account. Oppure, in alternativa, lo stesso utente malintenzionato può decidere di vendere un accesso prezioso, per una società specifica o forse per un asset come un grande conto di criptovaluta, al miglior offerente, che può essere un affiliato di ransomware o un altro attore criminale motivato finanziariamente.
Ma gli attori nefasti non devono nemmeno prendersi così tanti problemi. Basta guardare Raccoon – il gruppo dietro di esso lo pubblicizzava come un processo completamente automatizzato che era il risultato di mesi di sviluppo per far risparmiare ai “clienti” tempo prezioso e mal di testa – con tutti i componenti software, front-end e back-end inclusi.
Ciò che rende gli infostealer così pericolosi è che i dati sottratti direttamente dal dispositivo dei dipendenti aumentano notevolmente la percentuale di successo dei criminali informatici. Questi dati vengono condivisi in piccoli circoli criminali tra collaboratori fidati che possono utilizzarli per lanciare rapidamente attacchi. Ecco perché le infezioni da malware sono così strettamente legate agli attacchi ransomware: con le credenziali e i cookie appena raccolti o i dati delle impronte digitali del browser in mano, i malintenzionati sfruttano rapidamente tali informazioni per dirottare una sessione, aggirare l’autenticazione a più fattori (MFA), accedere al enterprise e iniziare a crittografare le risorse.
Quando il team di sicurezza scopre cosa è successo, è troppo tardi. E questo se rilevano effettivamente il malware. Considerando l’esplosione di dispositivi non gestiti e non monitorati, in particolare con l’aumento del lavoro da remoto, per non parlare dei dispositivi gestiti non sicuri e dei dispositivi degli appaltatori che non sono aggiornati, molti team di sicurezza hanno una visibilità limitata o nulla su ciò che accade sui dispositivi che i dipendenti utilizzare per accedere alle risorse aziendali.
Cosa può fare la tua azienda
Soluzioni di rilevamento e risposta alle minacce degli endpoint, backup dei dati, MFA, robuste policy di accesso: questi e altri controlli di sicurezza di base aiutano tutti a ridurre al minimo i rischi contro le botnet e le successive infezioni da malware. Per un’ulteriore prevenzione, le aziende possono assumere una posizione forte riducendo al minimo o addirittura eliminando completamente le pratiche BYOD che possono rappresentare una minaccia significativa per l’organizzazione.
Ma la prevenzione è solo uno strato. Le infezioni da malware possono capitare a chiunque: anche gli utenti più scaltri possono essere inconsapevolmente compromessi aprendo accidentalmente un’e-mail fantasticamente ingannata con un collegamento dannoso. Il rilevamento del malware distribuito dalle botnet al momento dell’infezione e la rapida risoluzione post-infezione sono una parte necessaria della tua difesa.
Cancellare semplicemente il malware dal dispositivo non fornisce quel livello di protezione. Devi sapere esattamente quali dati sono stati sottratti e come possono essere utilizzati come armi contro la tua azienda e reagire rapidamente prima che l’attaccante abbia l’opportunità di farlo.
È qui che la visibilità sui dati della rete oscura è fondamentale. Il monitoraggio di utenti e dispositivi compromessi consente di eseguire rapidamente la riparazione post-infezione. Per limitare la portata della minaccia, è necessario sapere non solo quali utenti e dati sono stati esposti, ma anche quali sistemi e applicazioni sono stati compromessi.
Sebbene le botnet siano solo un tipo di attacco informatico di cui essere a conoscenza, è anche utile rimanere aggiornati sulle minacce che colpiscono il proprio settore. Non hai necessariamente bisogno di un costoso feed di intelligence sulle minacce per essere a conoscenza delle tendenze e delle tattiche che i criminali informatici stanno impiegando: puoi farlo anche leggendo ricerche e notizie del settore. Sapere quali vulnerabilità vengono prese di mira attivamente può aiutarti a dare la priorità ai passaggi critici di mitigazione all’interno della tua organizzazione.
Tieni presente che la maggior parte degli infostealer moderni impiega meno di un secondo per infettare un dispositivo. Una volta che i tuoi dati sono fuori dalla porta, il rischio potrebbe durare per anni se non agisci per riparare tutte le informazioni compromesse. Nessuna impresa può permettersi di correre questo rischio.