Le festività natalizie implicano un cambiamento nei modi di operare delle aziende: alcune di queste chiudono parzialmente, lasciando solo un piccolo team a gestire i loro sistemi informatici, mentre altre si avviano verso i giorni più impegnativi dell'anno. I cambiamenti organizzativi e operativi dovuti al periodo festivo, uniti alla distrazione generale, spesso possono rendere le aziende più vulnerabili alla criminalità informatica.

Gli access broker – i gruppi criminali che rubano e vendono accessi a dati e sistemi aziendali facilitando così per altri pirati informatici le attività di eCrime - risultano particolarmente attivi verso la fine dell’anno. CrowdStrike rileva infatti picchi di attività in questo periodo. Gli access broker sfruttano le festività per creare campagne di social engineering ad hoc, sottrarre più dati e guadagnare vendendo le informazioni ad altri gruppi criminali sui forum clandestini.

In questo periodo dell’anno, il panorama delle minacce e il modo in cui gli access broker si inseriscono nell’ecosistema del crimine informatico cambiano, ma le aziende possono prepararsi ad affrontare questa stagione in modo sicuro e protetto. Per difendersi dagli access broker, è necessario innanzitutto capire chi sono e come agiscono.

Gli access broker sono diventati un elemento fondamentale all’interno dell'ecosistema eCrime perché vendono ad altri utenti malintenzionati gli accessi rubati alle vittime, favorendo così una moltitudine di attività criminali. Le loro operazioni continuano a crescere: da luglio 2022 a giugno 2023 CrowdStrike ha osservato un aumento degli annunci pubblicati dagli access broker nelle community criminali clandestine del 147%.

Molti access broker hanno stretto rapporti con sviluppatori di ransomware "big game hunting" (BGH) e affiliati a programmi "ransomware-as-a-service" (RaaS). Le festività natalizie offrono infatti a questi operatori un'occasione preziosa per lanciare campagne ransomware, ricattare le vittime e identificare potenziali obiettivi da colpire. Gli access broker supportano gli sviluppatori di ransomware in quest'ultimo compito, approfittando dei cambiamenti in vista delle vacanze per entrare nei sistemi aziendali e vendere gli accessi ad altri avversari.

Gli access broker studiano attentamente le proprie vittime. Analizzano le superfici di attacco delle aziende per trovare vulnerabilità da sfruttare, oppure ricorrono a sofisticate tecniche di ingegneria sociale per ingannare i dipendenti e rubarne le credenziali di accesso. Gli access broker cercano la via meno impegnativa per entrare all’interno dei sistemi aziendali, e si sono adattati rapidamente alle capacità di rilevamento e risposta dei tool EDR man mano che questi si sono evoluti. L'uso di malware personalizzati per ottenere l'accesso iniziale è diminuito in modo sostanziale - il 71% delle intrusioni nel 2022 erano prive di malware – perché gli autori delle minacce ora privilegiano metodi di attacco più subdoli.

Gli access broker sono molto organizzati. Pubblicizzano l'accesso su forum clandestini, spesso categorizzando le offerte con dettagli contestuali come il settore di attività, il guadagno e la valorizzazione degli asset. Queste informazioni sono particolarmente preziose per coloro che cercano la prossima vittima. In alcuni casi, gli access broker possono eliminare i costi iniziali per gli operatori di ransomware a valle della catena, utilizzando un modello di condivisione degli utili. Questi annunci rafforzano la collaborazione tra access broker e “big game hunter”, rendendo l'ecosistema criminale informatico un avversario temibile per tutte le aziende.

Nell'ultimo anno, gli annunci pubblicati dagli access broker hanno registrato un picco prima e dopo le festività natalizie. Sono stati osservati picchi simili anche durante la settimana prima di Pasqua e all'inizio del nuovo anno accademico. Anche se questo andamento non è consolidato, gli access broker sembrerebbero più attivi in questi momenti, per diversi motivi.

Personale ridotto: i team IT e di sicurezza solitamente hanno uno staff ridotto durante le vacanze, lasciando quindi meno risorse a gestire la rilevazione, il threat hunting e il patching. Di conseguenza, gli access broker hanno più opportunità di agire indisturbati. Il dwell time, ovvero il tempo di permanenza prima di essere scoperti, è più lungo durante questi momenti, lasciando agli access broker una finestra più ampia di opportunità per introdursi, rubare più dati e venderli.

È tempo di vacanze: i dipendenti spesso prendono giorni di ferie in questo periodo dell'anno, e alcuni potrebbero dimenticare password e accessi al ritorno dopo una settimana di vacanza. Nel momento in cui vengono richieste nuove credenziali, gli utenti sono più vulnerabili agli attacchi phishing. Gli access broker lo sanno e ne approfittano.

Più distrazioni: i team di supporto IT o di help desk riescono a occuparsi solo dello stretto necessario in questi periodi, spesso bypassando i normali protocolli di sicurezza. Di recente, gli access broker hanno iniziato a spacciarsi per utenti regolari, effettuando chiamate di assistenza per ottenere l'accesso. Se il team IT non convalida correttamente le informazioni, l’attaccante otterrà una via d'accesso più semplice.

Le attività commerciali registrano un'impennata: settori come la vendita al dettaglio, il settore alberghiero e del turismo entrano in uno dei periodi più intensi dell'anno. La gestione delle attività durante la fase di alta stagione è impegnativa, perciò l’esposizione a violazioni ed estorsioni può risultare maggiore. Gli access broker ne sono consapevoli e, al momento opportuno, rendono noto l’accesso alle aziende colpite, adeguando il prezzo, sapendo che altri avversari saranno interessati a sferrare attacchi.

Diamo infine un'occhiata più da vicino alle principali strategie che gli access broker utilizzano per entrare nelle aziende.

Campagne di Ingegneria Sociale ben congegnate - Uno dei più noti attori identificati durante il 2023, sia per quanto concerne il brokeraggio della sicurezza degli accessi che per il big game hunting, ha utilizzato una strategia di social engineering avanzata per sottrarre le credenziali. Nel mirino sono finite aziende operanti in diversi settori verticali, in molti casi è stata accertata la presenza di ransomware.

In tutti questi episodi, sono state utilizzate tecniche di social engineering per aggirare l'autenticazione a più fattori (MFA). Per ottenere l'accesso iniziale, queste organizzazioni si sono affidate a una combinazione di siti web di raccolta delle credenziali, phishing via SMS, SIM swapping, MFA push-notification fatigue e tattiche di social engineering tramite vishing. Effettuato l’accesso, gli avversari non utilizzano un malware esclusivo, quanto invece un'ampia gamma di strumenti legittimi per la gestione remota e per mantenere l’accesso attivo. La strategia è efficace perché i malintenzionati analizzano molto attentamente le loro vittime per poterle imitare in seguito.

Exploit Web e attacchi Living-off-the-Land (LotL) - Un altro metodo comunemente utilizzato dagli access broker prevede l’uso delle applicazioni rivolte al pubblico e lo sfruttamento delle vulnerabilità di esecuzione del codice remoto per ottenere l'accesso. Una volta all'interno dei sistemi, l'attore della minaccia agisce in modo sistematico utilizzando meccanismi standard di shell web, per raccogliere informazioni relative all'identità della macchina (chiavi SSH, chiavi RSA). Utilizzando strumenti a riga di comando standard, l'attore può persino cancellare i log di sistema per eludere il rilevamento.

Bart Lenaerts-Bergmans è Counter Adversary Operations di CrowdStrike