Per condurre un attacco cyber è necessario recuperare delle credenziali d’accesso, questo ha fatto nascere una nuova professione nel lato oscuro della rete. Conosciuti come IAB (Initial Access Broker), questi intermediari si occupano di rimediare gli accessi rendendo il lavoro degli altri attori malevoli sempre più semplice; adesso, basta una passeggiata sulla via del corso del dark web, per trovarsi circondati da vere e proprie boutique che vendono i dati di accesso.

Per quanto questi attacchi possano sembrare casuali, molte volte le vittime vengono scelte in modo da minimizzare il rischio e massimizzare i profitti.

Il modo

KELA ha analizzato 48 post riguardanti cybercriminali in cerca di credenziali da acquistare, il 40% di questi annunci è stato creato da persone coinvolte nella diffusione di ransomware. Nel post viene specificato quanto il criminale ha voglia di spendere e i requisiti che deve avere l’azienda da colpire.

Riportiamo come esempio un post del gruppo BlackMatter:

Per un'azienda che si trovi in Canada, USA, Australia, o Gran Bretagna con un ricavato di almeno 100 milioni, sono disposti a spendere da 3000 a 100.000 dollari.

Vediamo quali sono i criteri più diffusi:

Geografia:

i criminali preferiscono aziende situati in Canada, USA, Australia o Europa

Ricavato:

le gang tendono a richiede accessi per le compagnie che hanno un fatturato di almeno 100 milioni, ma questo può differire anche di molto secondo la posizione geografica della vittima.

I settori:

Mettendosi una mano sulla coscienza, gli attori preferiscono non colpire i settori come ospedali o polizia, ovviamente questa è una regola seguita dai più, ma non da tutti, dato che Wannacry mise in ginocchio la sanità britannica per lungo tempo.

Le Nazioni:

Le Nazioni che rientrano nel Commonwealth of Indipendent States non vengono colpite dai criminali spesso perché queste nazioni tendono a non perseguire crimini che non le riguardano esplicitamente; questo vuol dire che gli hacker russi possono agire indisturbati se non colpiscono la loro madre patria!  Gli stati del CIS comprendono Russia, Ucraina, Moldavia, Bielorussia, Kirghizistan, Kazakistan, Armenia, Tajikistan, Turkmenistan, and Uzbekistan.

Sfortunatamente anche se le compagnie non rispettano questi criteri non vuol dire che siano al sicuro, alcune gan come Dhram STOP e altri sono meno “viziati”. Abbiamo visto più volte come le gang Blackmatter REvil Lockbit colpiscano senza discriminare anche aziende con un ricavato nettamente inferiore. La fortissima tendenza all’abbassamento delle competenze richieste per l’accesso ad una rete da parte dei criminali rende la richiesta di giovani Soc Specialist sempre più alta. Fate un salto sulla pagina del corso per sapere di cosa si tratta!

Tweet