Crime as a Service cos’è e come funziona la nuova frontiera degli attacchi a consumo. Una guida pratica esclsuiva a cura di David Fairman, chief security officer, APAC – Netskope (in grande crescita in Italia grazie ad un recente accordo di distribuzione).
Un contributo prezioso per orientarsi nella nuova arena della “insicurezza” in cui vince, semrpe, la velocità di esecuzione e in cui i modelli di business si evolvono esattamente come tutti gli altri.
«I significativi progressi della tecnologia hanno permesso non solo a cittadini, organizzazioni e governi rispettosi della legge di crescere e prosperare, ma anche ai criminali che ne hanno sfruttato i vantaggi per crescere e prosperare nella loro attività illegale.
Questi individui e/o organizzazioni criminali possono sfruttare le nuove capacità tecnologiche con maggiore facilità e velocità poiché non operano all’interno di confini e di vincoli come accade per i cittadini e le organizzazioni rispettosi della legge. Non sono regolamentati o governati, ma spesso sono ben finanziati e ben coordinati.
Questa è la sfida contro cui le organizzazioni, i governi e i loro team di sicurezza combattono quotidianamente.
Il collegamento: economia illegale e crimine finanziario
L’economia illegale, nota anche come economia sommersa, shadow economy o economia informale, si riferisce al commercio illegale di beni e servizi, come traffico di esseri umani, racket, contrabbando di specie in via di estinzione, vendita di droghe illegali, prostituzione illegale, schiavitù infantile e praticamente qualsiasi altra attività che generi transazioni finanziarie ritenute illegali. Questo può variare da giurisdizione a giurisdizione a seconda delle leggi e dei regolamenti all’interno di uno Stato o territorio.
Il termine “crimini finanziari” come definito dall’Australian Criminal Investment Commission (Financial Crimes, 2019) include attività che vanno dalla frode alla manipolazione attiva del mercato azionario o al riciclaggio dei proventi del crimine.
Lo sfruttamento del sistema finanziario consente ai criminali e a gruppi organizzati di riciclare i fondi ricevuti attraverso attività illegali e di mascherare l’attività criminale stessa.
Come in qualsiasi organizzazione o entità, i criminali cercano di trarre vantaggio da nuovi modi di lavorare al fine di rendere il loro commercio più efficace ed efficiente, con il risultato che queste entità sfruttano la tecnologia per realizzare la loro mission e aumentare le opportunità di crimini finanziari.
Ciò vale anche per la criminalità informatica e l’agevolazione dei crimini finanziari attraverso mezzi digitali. Sebbene alcune entità stiano cercando di trarre vantaggio dalla tecnologia per promuovere le loro attività illecite, non sempre hanno le competenze tecniche per poterlo fare.
Ciò ha dato origine al Crime-as-a-Service (CaaS), grazie al quale criminali informatici esperti e qualificati costruiscono e sviluppano strumenti, piattaforme e capacità sofisticati e poi li vendono o li affittano ad altri criminali (e attori delle minacce) che non hanno le conoscenze tecniche per crearseli da soli.
Il modello è quello di qualsiasi altro modello di business di sviluppo tecnologico. L’entità tecnica (i criminali informatici) sviluppa la tecnologia che può quindi essere venduta o affittata a più clienti e i clienti (altri criminali) traggono vantaggio dall’uso di questa tecnologia per gestire la propria attività, come farebbe qualsiasi altra attività legittima.
Questo è uno dei fattori che determina il volume e la sofisticazione degli attacchi a cui assistiamo oggi: gli attori delle minacce non richiedono più la profonda conoscenza tecnica che avevano una volta e la barriera all’ingresso nel crimine informatico e nell’economia illegale si sta abbassando.
Servizi CaaS, Crime as a service, in vendita sul web
Di seguito, sono elencati alcuni servizi che possono essere facilmente reperiti come CaaS.
Kit/Piattaforme di Phishing
Il phishing continua a essere uno dei principali vettori di attacco utilizzati per compromettere le organizzazioni, quindi non c’è da stupirsi che la mercificazione di queste funzionalità sia notevolmente aumentata. I kit di phishing (qui anche la guida per sapere che cosa è lo spam), così come le piattaforme di phishing, sono prontamente disponibili sul Dark Web a partire da $ 2- $ 10 per agevolare l’attacco a un’organizzazione. Inoltre, questi kit e piattaforme sono personalizzabili anche da parte di chi ha poche conoscenze o capacità e hanno vari livelli di automazione che li rendono molto attraenti per i criminali.
Kit Exploit
Si tratta di kit che includono lo sviluppo di codice di exploit e strumenti per sfruttare le vulnerabilità note. Uno dei kit più popolari, RIG, costa solo $ 150 a settimana e può diffondere ransomware, trojan e altre forme di malware. Tuttavia, a causa dell’aumento degli aggiornamenti automatici nei browser e della riduzione dell’utilizzo di Flash, gli exploit kit sono diventati meno diffusi.
Servizi DDoS
Un gruppo criminale non ha più bisogno di creare una botnet per lanciare un attacco su un bersaglio. Oggi si possono affittare questi servizi su richiesta. Il tempo necessario per lanciare un attacco è minimo e l’infrastruttura può essere avviata e ridotta in modo rapido ed efficiente, rendendo più difficile tracciare e mitigare gli attacchi. I servizi DDoS sono anche economici e accessibili con molti provider che offrono piani di abbonamento sul Dark Web. Si può trovare il più economico a $ 5 al mese per 1 attacco simultaneo con un tempo di attacco di 300 secondi, fino al più costoso per $ 60 al mese che prevede un attacco simultaneo con tempo di attacco di 10800 secondi. Altri fornitori offrono attacchi DDoS su server o siti Web per circa $ 400 al giorno, con alcuni che offrono addirittura attacchi a risorse governative mirate. Tutto ciò rende i servizi DDoS particolarmente pericolosi per la facilità con cui possono essere eseguiti e per i profitti che possono creare per i criminali.
Ransomware as a Service
Analogamente ai servizi DDoS, i criminali informatici possono sfruttare servizi ransomware appositamente creati per prendere di mira una vittima, superando la necessità di elevate conoscenze tecniche. Questi servizi forniscono le competenze e tutte le informazioni necessarie per eseguire un attacco. In alcuni casi, forniscono anche una dashboard e un report sullo stato dell’attacco.
Il ransomware as a service ha una quantità variabile di prezzi e modelli di pagamento, alcuni sono basati su abbonamento, altri prevedono tariffa fissa, altri ancora una partecipazione agli utili (qui anche la guida alla endpointsecurity).
Gli importi possono partire da $ 40 e oscillare verso l’alto fino a migliaia per obiettivi di grandi dimensioni (fonte: Ransomware as a Service (RaaS) | The Business of Ransomware, 2020).
Research as a Service
Si intende la raccolta legale o illegale di informazioni su vittime mirate, nonché la rivendita di dati personali rubati, come le credenziali compromesse. Può anche includere la vendita di informazioni su potenziali exploit all’interno di software o sistemi.
Valuta digitale
Le criptovalute sono un metodo ampiamente utilizzato dai criminali informatici per trasferire e raccogliere fondi grazie all’anominato che garantiscono, alla facilità d’uso e alla mancanza di confini e restrizioni internazionali. Gli account di criptovaluta generalmente non richiedono all’utente di fornire alcuna informazione personale né la posizione e consentono anche l’utilizzo di più account contemporaneamente.
Bitcoin è la valuta preferita dei criminali informatici: negli attacchi ransomware, le richieste di riscatto sono spesso in Bitcoin. Gli indirizzi bitcoin registrati nella blockchain non sono associati a determinati individui, solo il titolare dell’account del portafoglio bitcoin che sta ricevendo la transazione può vedere queste informazioni.
Ciò significa che le autorità fanno fatica a rintracciare connessioni e percorsi dei criminali. Incassare può essere più rischioso, tuttavia, i servizi di miscelazione di bitcoin possono aiutare a oscurare l’origine dei fondi, nascondendo il legame del criminale con il crimine.
Attualmente, organizzazioni legittime, come banche e società di servizi finanziari, trovano difficoltà nell’usare i bitcoin poiché non possono soddisfare gli standard di conformità KYC (Know Your Client) e AML (Anti Money Laundering) per una serie di motivi, inclusi set di dati in silos, valutazioni del rischio o modelli inadeguati, sistemi IT complessi e processi correlati, sfide in termini di risorse e aspettative normative in continua evoluzione.
Questi ostacoli, insieme alla complessità e all’anonimato associati alla criptovaluta, rende l’uso della criptovaluta una sfida ancora più difficile per queste organizzazioni.
Crime as a service, l‘industria della sicurezza come può venire in aiuto?
Con l’accelerazione dettata dalla digital transformation e attività condotte sempre più in digitale, la sicurezza informatica gioca un ruolo sempre più decisivo nella lotta alla criminalità finanziaria e allo smantellamento dell’economia illegale.
Questo scenario ha portato i team di sicurezza informatica a lavorare più a stretto contatto con i team che si occupano di frodi e crimini finanziari, soprattutto nel settore bancario.
Alcune delle principali banche britanniche ed europee operano con una struttura organizzativa in cui i team di criminalità finanziaria e di cybersecurity fanno parte della stessa business unit da oltre 10 anni, spinti dalla naturale sinergia tra queste funzioni.
Con la convergenza dei team addetti alla criminalità informatica e finanziaria, si è visto l’emergere di Cyber Fusion Center, una sorta di versione avanzata del modello di gestione del Security Operations Center (SOC) che unifica diversi team all’interno di un’organizzazione, come i team di frode, criminalità finanziaria, informatica, sicurezza fisica e intelligence. (qui anche la guida per capire che cosa è un firewall)
Riunendo questi team, le organizzazioni possono condividere più facilmente analisi e informazioni sulle minacce, aumentare la capacità attrattiva per nuovi talenti e disporre di un quadro standard per le procedure.
La lotta alla criminalità informatica e l’interruzione dell’economia illegale possono quindi essere realizzate in modo più efficace grazie a una gestione più trasparente, stabilendo un modello operativo end-to-end e consentendo una collaborazione e un consolidamento più semplici su minacce e azioni pertinenti.
Una sfida di questo modello, tuttavia, è l’implementazione iniziale in quanto potrebbe richiedere molto tempo, pianificazione e impegno per essere eseguito. A parte ciò, stabilire questo modello operativo, sia attraverso ruoli e responsabilità concordati, sia attraverso una ristrutturazione organizzativa, si rivelerà estremamente impattante per l’organizzazione e per i clienti.
Alla base di questo modello operativo c’è un modello di dati che consentirà attività e processi decisionali basati sull’intelligence e sui dati. Mettendo insieme quelli che sarebbero normalmente set di dati disparati e l’esecuzione di analisi avanzate, comprese le tecniche di intelligenza artificiale e ML, si possono generare intuizioni che diversamente non si avrebbero. Utilizzando questi approcci, tra cui l’analisi dei cluster e l’analisi della rete neurale, un’organizzazione può identificare le anomalie che possono portare all’identificazione di economia illegale, consentendo quindi all’organizzazione di agire, anche con l’interruzione di questa attività.
Inoltre, l’industria informatica deve essere consapevole di quali fornitori di criptovaluta sono disponibili, quali sono le loro caratteristiche e come le organizzazioni criminali utilizzeranno tali servizi. È inoltre necessario considerare il modo in cui le autorità stanno monitorando queste transazioni e come intendono farlo man mano che le criptovalute diventano più anonime e arrivano persino offline. Bithumb, Upbit, Corbit e Coinone, quattro delle società di criptovaluta della Corea del Sud, hanno deciso di unire le forze per condividere i dati del portafoglio in tempo reale al fine di mitigare schemi piramidali e fondi di phishing inviati attraverso i loro servizi.
Ci sono alcuni esempi in cui l’industria privata e il governo hanno collaborato per interrompere il crimine informatico. Negli Stati Uniti, le grandi banche e il governo degli Stati Uniti hanno formato, sotto il Financial Services Information Sharing and Analysis Center (FS-ISAC), il Financial Services Analysis & Resiliency Center (FS-ARC), per combattere gli attacchi informatici e la criminalità finanziaria che attraversa il settore finanziario.
Anche la Financial Action Task Force (FATF) sta tentando di regolamentare le organizzazioni di criptovaluta costringendole a includere i dettagli dei mittenti o dei destinatari nelle transazioni.
In Canada, il Canadian Cyber Threat Exchange (CCTX) (Home – Canadian Cyber Threat Exchange – CCTX – Informing Canadian Business, 2020) è un altro esempio del genere. E in Australia, è stata creata un’iniziativa guidata dalla National Australia Bank (NAB) in cui le principali banche, in collaborazione con le forze dell’ordine e le agenzie di intelligence del governo australiano, sono unite con uno scopo simile, quello di combattere la criminalità informatica.
Crime as a service… Conclusioni
Il panorama delle minacce informatiche sta crescendo in velocità e volume a un ritmo senza precedenti. Uno dei fattori chiave è la maturazione del modello di business che si è evoluto a sostegno della criminalità informatica per facilitare l’economia illegale.
Dove c’è denaro da fare, anche illegalmente, c’è chi approfitterà delle opportunità che si aprono. Con i progressi della tecnologia e le barriere all’ingresso di nuovi cyber criminali che si abbassano, il rischio per i cittadini, le industrie e le imprese continua a crescere.
Proprio come i criminali informatici continuano a condividere informazioni, coordinarsi ed evolvere le loro capacità, così devono fare l’industria privata e il governo per contrastare la criminalità. Governo e industria devono avere relazioni più profonde, continuare a crescere ed evolversi con il supporto e i progressi della sicurezza informatica e della tecnologia. Non c’è momento migliore di oggi per accelerare questa collaborazione.