In questo articolo spiegherò il business del Ransomware as a service, in quanto è un tema attuale e che non esclude nessuna azienda.
Iniziamo intanto a porci delle domande:
- Quelli che ci attaccano sono ragazzi con il cappuccio ( definiti Hacker) che sono realmenteinteressati alla mia azienda?
- Perchè la mia azienda è interessante?
- Come mi attaccano?
- Cosa succede quando mi attaccano?
- Cosa devo fare quando mi attaccano o per prevenire un’ attacco?
Modello di affiliazione
Il modello di affiliazione significa che non ci sono dei ragazzi con i cappucci come spesso viene
mostrato dai Media, ma sono delle vere e proprie entità che hanno specifici compiti e che hanno
appunto un concetto di affiliazione tra loro, una logica e un modello di Business.
Nell’immagine sotto possiamo vedere tre entità, che le definirò chiamandole “Aziende”( essendo
appunto strutturate come delle vere e proprie aziende).
Vediamo che sono presenti 3 entità che sono:
- INITIAL ACCESS BROKER (IAB)
- RANSOMWARE AS A SERVICE (RAAS)
- RAAS OPERATOR
Cerchiamo di capire ognuna che ruolo ha nella filiera.
Initial Access Broker
Gli IAB, fondalmentalmente sono delle “aziende” procacciatori di clienti, quindi sono quelle persone che valutano se la tua azienda è interessante oppure no.
Hanno diverse funzioni:
- Creano punti di accesso alle reti ( in molti casi anche leciti, di conseguenza diventa estremamente difficile rilevarli).
- Fanno un’analisi dell’azienda potenzialmente attaccabile, capendone i modelli e il tipo di business, il posizionamento sul mercato, che relazione hanno con i clienti e fornitori, fanno anche un’analisi finanziaria ( e questo viene fatto per capire la capacità ha nel caso di pagamento del riscatto, se notate infatti i riscatti richiesti non sono mai uguali ma sempre diversi).
I punti di accesso a una rete vengono creati nei seguenti modi:
- Rilevano la superficie di attacco al fine di rilevare qualsiasi punto di accesso ( esempio Zero Day, VPN, RDP etc..)
- Pretexting o Botnet (il pretexting è un’attacco basato sulla base di un pretesto per poter raggiungere i dipendenti di un azienda)
- Database Leak
- Tecniche di social engineering (campagne di Phishing mirato)
- Insider (dipendenti all’interno dell’azienda da attaccare)
Sugli insider posso citare una famosa Ransomware Gang che si chiama Lapsus.
E’ famosa perchè reclutano gli insider contattando i dipendenti dell’azienda con i quali stipulano un’accordo in denaro ( un terzo del potenziale riscatto ovviamente se il riscatto va a buon fine).
Per concludere, gli IAB non sono quelli che sferrano l’attacco ma sono quelli che creano dei pacchetti (venduti nei forum del Darkweb) per poter accedere a una rete di un’azienda.
Chi compera questi pacchetti? Vengono comprati da un’ altra azienda che è il Ransomware as a service o RAAS.
Ransomware as a service
Il ransomware as a service o RAAS sono “aziende” che offrono delle piattaforme a pagamento in
modalità SAAS, dove i veri esecutori dell’attacco con i quali siglano un accordo (RAAS Operator)
trovano i pacchetti forniti dagli IAB, strumenti di attacco specializzati, strumenti di helpdesk, chat con gli
attaccati e strumenti per il pagamento del riscatto.
Ogni Raas ha il suo modello di business e una sua etica (facendo un esempio ci sono RAAS come Lockbit 3.0 che ha un codice di condotta che non attacca ad esempio le strutture sanitarie, altri che
non attaccano a livello geopolitico etc..).
Raas Operator
I RAAS operator sono nella filiera descritta i veri esecutori dell’attacco.
Sono strutturati come vere e proprie aziende, hanno skill medie elevate da penetration testing.
Gli operatori RAAS quindi accedono alla piattaforma RAAS trovando tutto il necessario per iniziare una o più fasi di attacco.
Ogni attacco viene identificato con un ID session, e ogni ID session rappresenta una vittima.
A seconda della piattaforma RAAS come dicevo, è presente un modello di Business.
Quelle più usate sono i modelli SAAS, dove pagata una fee iniziale per l’attacco, la review è basata sul successo dell’attacco e il tempo impiegato per ottenere il riscatto, di conseguenza ci sono operatori RAAS specializzati in attacchi alle piccole e medie imprese dove c’è un piccolo esborso iniziale (per il “noleggio” della piattaforma RAAS) e una capacità di riscatto bassa, ma si adoperano su attacchi a larga scala; ci sono infine quelli specializzati in pochi attacchi, con la necessità di piattaforme RAAS di grandi dimensioni e questo comporta a capacità di richiesta di riscatto molto alte.
Per concludere questa parte negli ultimi tempi i ransomware operator hanno creato un vero e proprio business in modalità MSP, dove gli stessi Operator “subaffittano” la piattaforma Ransomware a gruppi di affiliati, questo significa che gli attacchi alle aziende possono essere moltiplicati.
Nella figura di seguito uno schema di un modello Raas MSP.
Cosa devo fare per prevenire un attacco?
Nell’immagine sotto ho sintetizzato la kill chain di un attacco.
Come specificato, per effettuare un attacco ci devono essere dei punti di ingresso a una rete e
questi punti possono essere protetti con le seguenti soluzioni:
Vettore iniziale
Phishing
–> soluzione di Email Security e Formazione dipendentiSfruttamento di vulnerabilità
–> Vulnerability Assessment e Penetretion TestInsider
–> soluzioni di Identity Access Management e Privileg Account ManagementIAaas
–> Threat Intelligence o soluzioni di Attack Surface Management
L’ultimo punto nello specifico, è una soluzione di sicurezza preventiva, ossia che ci da visibilità dei
possibili punti di accesso che i Cyber criminali possono sfruttare.
Infezione - Attacco - Esfiltrazione
Partendo dal presupposto che l’antivirus generico non basta più in quanto si basa solo su signature, soluzioni di EDR (Endpoint Detection e Response) e soluzioni XDR (Extended Detection e Response) possono invece aiutare a prevenire le tecniche di attacco, questo perchè non lavorano solo sulle signature, ma si basano anche sulle possibili tecniche di attacco ( per maggiori informazioni sulle tipologie di tecniche rimando al Framework Mitre & Attack).
Nello specifico un XDR a differenza di un EDR (che copre principalmente la parte endpoint) riesce a
coprire l’intera rete (Network Endpoint, Email, Server, Cloud), di conseguenza riesce a coprire dai possibili movimenti laterali o se c’è stato un login in un’orario anomalo etc..
Per concludere IDS (Intrusion Detection System) e IPS(Intrusion Prevetion System) sono sistemi
integrati di default nella maggior parte dei FW di nuova generazione, mentre gli NDR(Network
Detection e Response) sono sonde che prendono il traffico di rete non in-line (prendono il traffico
mirrorato) e vanno ad allertare in caso di traffico malevolo un SOC (Security Operation Center).
Cosa devo fare in caso di attacco?
In caso di attacco, nelle aziende deve essere presente un’unità per gestire la crisi. Questa unita deve
avere delle sotto unità che sono:
- Unità Forense: sono delle persone che sono in grado di fare un’analisi forense fornendo informazioni su come sono entrati nella rete, cosa hanno compromesso, per quanto tempo.
- Unità di Ripristino: questa unita deve essere in grado di ripristinare le attività e garantire la ripartenza; deve inoltre garantire che il ripristino dell’azienda sia sicuro e che non sia nuovamente distrutta (in sostanza devono anche eseguire delle bonifiche a livello infrastruttura).
- Unità di Intelligence: è un’unità che deve capire grazie all’aiuto dell’unità forense se l’azienda è stata attaccata da professionisti o da improvvisati, questo perchè i professionisti fanno business, mentre gli improvvisati sono pericolosi..
- Unità di negoziazione: Il tempo è un fattore essenziale nella negoziazione, questo perchè chi attacca comunque ha dei costi, di conseguenza questa unità deve valutare costantemente il rischio calcolando matematicamente e negoziando con i criminali sulla base delle informazioni che devono essere fornite da tutti i team.
Vi lascio con una citazione di SUN TZU
SE CONOSCI IL NEMICO E TE STESSO LA TUA VITTORIA è SICURA, SE CONOSCI TE STESSO MA NON IL NEMICO, LE TUE PROBABILITA' DI VINCERE E PERDERE SONO UGUALI.
SE NON CONOSCI IL NEMICO E NEMMENO TE STESSO SOCCOMBERAI IN OGNI BATTAGLIA.
Stefano Tarantini – Technical Account Manager