I gruppi di cybercriminali funzionano come vere e proprie imprese, e ultimamente vendono malware seguendo il modello SaaS.
È finito il mito quasi romantico dell’hacker solitario che lavora di notte, magari in uno scantinato di fronte a 6 monitor e circondato da computer e cavi elettrici. Adesso gli hacker si organizzano in strutture aziendali che assumono e licenziano in base alle necessità e che ricercano nuovi talenti proprio come le multinazionali.
A inizio anno, un account ucraino di Twitter ha pubblicato un leak con 60.000 messaggi di chat inviati dai membri dell’organizzazione criminale Conti; così, abbiamo scoperto che i gruppi di hacker sono sempre più simili alle aziende normali, con stipendi, conflitti interni e strategie di espansione.
Com’è cambiato il mondo degli hacker e dei criminali informatici? Come incide questo cambiamento sulle aziende e sui privati? Come reagisce il settore della sicurezza informatica? Continua a leggere!
Molti degli hacker che lavorano in questi gruppi lo vivono come un vero e proprio lavoro, a parte il fatto che non pagano l’IRPEF.
Aziende di hacker
La cosa che più colpisce è che quando un gruppo di cybercriminali si organizza e crea una struttura che funziona come un’impresa, finisce per adottare anche molti comportamenti tipici del mondo aziendale.
Ad esempio, nel data leak di Conti ci sono messaggi in cui i dirigenti si lamentano dei dipendenti, mentre alcuni di questi si vantano dei guadagni ottenuti e parlano di vacanze e viaggi estivi. Questo lato umano, positivo o negativo che sia, è difficile da conciliare con la natura criminale dell’organizzazione, eppure molti degli hacker che lavorano in questi gruppi lo vivono appunto come un vero e proprio lavoro, a parte forse il fatto che non pagano l’IRPEF e non versano contributi.
Ecco le caratteristiche principali delle nuove aziende di hacker:
- Cercano nuovi collaboratori nei forum specializzati
- Offrono incentivi basati sugli obiettivi
- Hanno orari di lavoro flessibili, corti e, ovviamente, da remoto
- Pagano stipendi mensili o bisettimanali
- Si organizzano in reparti specializzati
- Hanno una struttura dirigenziale gerarchica
- Rinvestono i profitti in ricerca e sviluppo
- Si appoggiano ad altri collaboratori e aziende esterne per determinate funzioni (come la ricerca di accessi nelle reti delle vittime)
- Rivendono i propri servizi ad altri hacker seguendo il modello SaaS.
Quest’ultimo punto è quello più interessante: le organizzazioni di hacker hanno capito il valore dei modelli di distribuzione odierni, come i software as a service accessibili da browser e adattabili alle necessità delle aziende, e li hanno applicati alla propria attività. La conseguenza principale è la nascita di un modello chiamato RaaS, ovvero Ransomware as a Service.
LEGGI ANCHE: Presunto attacco ransomware all’Agenzia delle Entrate
Aziende RaaS
Il modello SaaS ha il grande vantaggio di essere più economico e più facile da gestire per il cliente: molti software sono accessibili dal browser tramite una piattaforma online, l’azienda non deve installare niente, della manutenzione e del supporto tecnico si occupa il fornitore dei servizi e, infine, possono scalare le soluzioni che acquistano in base alle necessità e al ritmo di crescita.
Questo modello (as a Service) è stato adottato da Conti e altre grandi organizzazioni di cybercriminali, soprattutto per gli attacchi ransomware dando vita al modello Ransomware as a Service (RaaS). Oggi, una persona o un gruppo con competenze informatiche medie può acquistare tutti i servizi e gli strumenti necessari per sferrare un attacco ransomware ai danni di un’azienda privata o addirittura a una del settore pubblico, come dimostrato dal recente attacco all’Università di Pisa.
L’aspetto più preoccupante di questo fenomeno è appunto la facilità con cui può essere lanciato un attacco, che fa presagire un futuro prossimo costellato di attacchi ripetuti a target di tutte le dimensioni, dalla multinazionale alla piccola impresa locale: l’importante, a quanto sembra, è avere un piano e un bersaglio potenzialmente disposto a pagare.
Le aziende RaaS hanno inoltre una serie di collaboratori satelliti che gravitano intorno al loro modello di business principale, tra cui i cosiddetti broker di accessi, ovvero altri gruppi di cybercriminali che si incaricano di trovare il punto di ingresso nella rete informatica della vittima, ad esempio il terminale di un dipendente con privilegi di accesso sufficienti o un server poco protetto.
Ma la diversificazione e la specializzazione non finiscono qui. Nelle aziende RaaS c’è addirittura chi si occupa di gestire i negoziati con la vittima una volta portato a termine l’attacco, per cui il committente deve fare davvero poco.
Infine, è interessante vedere il modello economico di questi gruppi hacker: la maggior parte si fanno pagare una percentuale sui ricavi dell’attacco. Si tratta di un modello che incentiva l’acquisto dei servizi, come una royalty sull’uso di un prodotto coperto da copyright, e che beneficia sia il cliente (che paga per i risultati) sia l’azienda (che applica commissioni molto alte, a volte anche il 50%).
Un gruppo hacker può pagare per usare gli strumenti dei gruppi più grandi e massimizzare i suoi profitti creando attacchi a più livelli.
Gli attacchi ransomware nel 2022
La professionalizzazione e l’adozione di una struttura aziendale hanno portato anche al miglioramento degli attacchi informatici o, per dirla in termini imprenditoriali, all’ottimizzazione degli investimenti.
Oggi, un gruppo hacker può pagare per usare gli strumenti e il know-how dei gruppi più grandi e massimizzare i suoi profitti creando attacchi a più livelli:
- Il ransomware cripta i dati sul sistema della vittima, che deve pagare un riscatto per non rimanere inattiva troppo a lungo.
- Poi, l’hacker chiede un riscatto anche a cambio di non divulgare i dati rubati, di cui di solito viene pubblicata una parte sul sito di data leak dell’azienda da cui hanno acquistato il ransomware as a service.
- Inoltre, possono lanciare un attacco DDoS per fare ancora più pressione sulla vittima, sfruttando le botnet di queste grandi aziende di hacker.
- Infine, l’hacker contatta anche le aziende partner della vittima, di cui ha rubato indirettamente alcuni dati, e la minaccia di divulgarli.
Riassumendo, oggi gli hacker possono risparmiare sui costi utilizzando i servizi di un’azienda RaaS come Conti, possono accedere a strumenti professionali ed efficaci, possono contare su consulenze e supporto tecnico proprio come se collaborassero con un’azienda qualunque e infine possono guadagnare di più lanciando attacchi a più dimensioni, grazie alla varietà di servizi e strumenti posseduti dalle grandi organizzazioni criminali.
Conseguenze a livello di cybersicurezza
Come abbiamo visto, il mondo degli hacker è cambiato, per cui dobbiamo cambiare anche noi e adattarci al presente. Nel mondo della sicurezza informatica vale più che mai il feroce principio di “adattati o muori”: nel momento in cui gli hacker non sono più isolati ma interconnessi, l’efficacia dei loro strumenti e la pericolosità dei loro attacchi può solo continuare ad aumentare.
Per questo, è necessario prendere sul serio la sicurezza informatica e adottare comportamenti responsabili, a casa come in azienda. Prevenire del tutto gli attacchi è molto difficile, ciò che possiamo fare è mitigarli: ridurre i danni, reagire velocemente e in maniera efficace ed evitare gli errori umani più costosi, come riutilizzare le password o fare clic su link sospetti.
CONTINUA A LEGGERE: Perché l’igiene digitale è un dovere civico
Buona navigazione e buona lotta contro i ransomware as a service!