Il mondo del cybercrime ci ha insegnato che nella maggior parte dei casi l’obiettivo primario dell’hacker è l’estorsione di denaro. Il metodo più usato per raggiungere questo obiettivo è il furto di informazioni e dati sensibili, con l’obiettivo di richiedere un riscatto per la restituzione o, peggio, per evitarne la divulgazione su scala pseudo pubblica, come avviene nei casi di double-extortion.
Il percorso che segue il cybercriminale è tutto sommato semplice. Ad esempio, non è detto che sia indispensabile trovare un escamotage per accedere alla NAS che l’utente ha esposto su internet, per accedere ai propri documenti fuori casa. Potrebbe essere, infatti, che qualcuno prima di lui abbia già fatto “il lavoro sporco” per esempio abbia sviluppato un exploit che sia in grado di sfruttare una vulnerabilità del front end web per l’amministrazione della NAS.
A questo punto, il nostro cybercriminale potrebbe acquistare un database pronto all’uso in qualche store nascosto (neanche troppo) nel Deep o nel Dark Web, contenente anche credenziali di accesso amministrative desiderate.
La nostra esperienza ci insegna che spesso non c’è bisogno di trovare chissà quale 0 day per iniziare e portare a termine una violazione informatica.
Nel Deep e Dark web si trovano già molte informazioni sfruttate dall’attaccante nei primi step del suo lavoro di ricerca di informazioni sul target. Si parla di informazioni generali, quali numeri di telefono, username, password, indirizzo di casa, Conto Corrente, Carta di Credito, sede di lavoro, azienda, ecc… . Il Deep e il Dark Web sono praticamente accessibili a chiunque e senza neanche troppi problemi di traduzione e pullulano di queste informazioni.
Data breach: il ruolo del Deep web e del Dark web
Il Deep web, infatti, contiene pagine alle quali si può accedere utilizzando il protocollo http mediante un browser standard, ma sono pagine difficilmente indicizzate nei motori di ricerca, quantomeno quelli più famosi ed utilizzati. Si tratta perciò spesso di pagine difficili da localizzare se non si conosce l’URL esatto.
Il Dark web, invece, è un sotto livello del web standard (Clear o Deep). Qui per poter raggiungere i contenuti si devono utilizzare protocolli specifici ( TOR , I2P, ecc.) che permettono, tramite algoritmi specifici di cifratura e non solo, di poter accedere a una rete internet parallela a quella WEB comune. Esistono anche servizi come Tor2Web che permettono la visione del Dark web anche senza l’utilizzo dei protocolli specifici.
Per i più curiosi, ma al contempo previdenti circa i rischi a cui si va incontro accedendo in prima persona a questi strumenti AHMIA (anche sul Clear web), TORCH, PHOBOS, OnionLand, proponiamo qualche screenshot dimostrativo su dove e come vengono pubblicate le informazioni sensibili raccolte mediante gli attacchi.
Nella maggior parte dei casi, suddivisi per categorie, si potranno trovare database pagabili tramite crediti (monete virtuali utilizzabili esclusivamente su quel sito, scambiati in crypto o denaro tramite PayPal).
Spesso sarà necessario, tuttavia, un ulteriore lavoro di “decodifica” dei dati, per ottenere un database abbastanza pulito da informazioni grezze.
Quando ci si affida alle pagine direttamente gestite dai team che effettuano i data breach, il cybercriminale va sul sicuro: si ha pressoché la certezza di avere una vista “aggiornata” alle ultime informazioni confidenziali raccolte. Di fatto questi dati vengono pubblicati da coloro che governano anche la raccolta ed hanno tutto l’interesse, dal prestigio alla remunerazione, a mostrarsi “sul pezzo”.
In maniera altrettanto semplice, è possibile acquistare servizi di intelligence mirata, che, in cambio di cifre modeste, si offrono di scovare informazioni, scaricare i database di precedenti violazioni, ordinarli e “purificarli”, estraendo solo i dati di interesse.
Una volta individuata una coppia username e password funzionante, la si potrà sfruttare per proseguire nella violazione, con l’obiettivo di ricercare un vettore di attacco iniziale. Del resto, tornando all’esempio della NAS, difficilmente gli admin abilitano policy restrittive sui tentativi di login falliti e per il cybercriminale testare qualche password non è di certo un problema. L’alternativa sempre valida è quella di affidarsi allo scripting, considerando peraltro che l’accesso via API è quasi sempre lasciato abilitato.
Se poi il cybercriminale non volesse fermarsi ai soli dati domestici e volesse puntare all’azienda nella quale l’utente lavora, a quel punto per violare un sistema all’interno della rete aziendale, basteranno alcuni dati sensibili della vittima. Potrebbe, per esempio, scoprire che l’utente ha già utilizzato la stessa password anche per l’accesso OWA e lo username certamente non è la cosa più difficile da individuare.
Innescato l’attacco, il cybercriminale potrà decidere se rimanere silentemente residente nella rete, esfiltrando costantemente informazioni un po’ alla volta per non dare nell’occhio, oppure esfiltrare celermente tutte le informazioni possibili fino all’attivazione del malware. Questo cripterà qualsiasi file, chiedendo immediatamente un riscatto, o decidendo di richiederlo posticipatamente. Al contempo, l’hacker potrebbe sfruttare le risorse dell’azienda per effettuare attacchi verso altre entità, nella logica ormai nota della supply chain. Insomma, come al solito, non c’è limite alla fantasia dei cybercriminali.
Nelle notizie quotidiane, si legge spesso che i dati esfiltrati vengono poi comunque e in ogni caso pubblicati una volta pagato il riscatto, magari solo nel Dark Web e magari solo in forum “fidati”, dove per poter essere ammesso bisogna avere un nome, un prestigio, uno score, ecc. L’etica e la freddezza consigliano in ogni caso di non pagare mai il riscatto, evitando così di alimentare il mondo del cybercrime.
Data breach: i tuoi dati sono già stati pubblicati?
Ha senso chiedersi se esistono già nostre informazioni riservate da qualche parte? Quali misure adottare per scoprirlo?
Come al solito la migliore strategia di difesa non può prescindere dalla visibility ed in questo contesto l’analisi real time di cosa viene pubblicato nel Deep e Dark web in cerca di indicatori di compromissioni e data breach è fondamentale.
Strategicamente, può effettivamente impedire l’innesco degli attacchi.
Si potrebbero individuare all’istante data leaks di cui non siamo a conoscenza afferenti ad alcuni impiegati aziendali, relativi magari alla sfera privata e personale, ma le cui informazioni possono essere molto utili per interpretare ed interagire con il contesto aziendale. Il confine informatico tra personale ed aziendale, come sappiamo, è sempre più sottile e la tendenza non cambierà certamente direzione.
Come puoi capire quanto sono realmente esposti i tuoi dati e quanto è a rischio la tua organizzazione?
PARLANE CON I NOSTRI CYBERSECURITY SPECIALIST!!
Non esiste una “procedura” standard applicabile a tutti i contesti.
La soluzione parte sempre da un’analisi dettagliata della situazione personale/aziendale.
