Eccoci a un articolo che vuole sfatare il mito del giovane hacker col la felpa, chiuso nella sua stanzetta, di un paese sperduto chissà dove! Certo, esistono ancora forme di attacchi informatici perpetrati da ragazzini particolarmente “svegli”, anche se votati ad azioni di hackeraggio poco edificanti, se non addirittura criminali. Ma, in generale, gli attori del Cyber Crime attuale, chiamati in gergo Threat Actors, sono per lo più soggetti ben organizzati e strutturati, anche ben oltre quanto si riesca ad immaginare.
Per comprendere meglio i rischi e adottare comportamenti adeguati di Cyber Security Awareness, è fondamentale sapere CHI sono gli attori che orchestrano le minacce informatiche e PERCHÉ lo fanno.
“Il sapere rende liberi, è l’ignoranza che rende prigionieri.” SOCRATE
Sul COME difendersi, invece, ti aiutiamo noi 🙂
Ma procediamo a ritroso e vediamo prima quali sono i motivi che spingono ad agire nel contesto hacker, e successivamente i soggetti che rappresentano l’ormai vasto mondo dei criminali informatici. Per poi concludere con una chicca su una declinazione del “Customer Care” che proprio non ti aspetti…
Threat Actors: PERCHÉ agiscono?
Le spinte motivazionali alla base delle attività di hackeraggio dei sistemi informatici sono molte e generano differenti tipologie di criminali. Partiamo dalla principale, andando poi ad elencare altre forme più rare, ma anch’esse rilevanti:
- Attori con Motivi Economici
La maggior parte degli attacchi informatici ha scopi economici. Lo afferma a chiari numeri anche il Rapporto CLUSIT sulla Sicurezza Informatica: ben l’83% degli incidenti informatici (e parliamo solo di quelli dichiarati!) nel 2023 erano a scopo illegale di lucro. E non parliamo di una fiammata isolata, perché nel 2022 la percentuale era già all’82%. Questi attori utilizzano principalmente malware (programmi malevoli come, ad esempio, virus trojan bancari, ransomware) per rubare denaro direttamente da conti finanziari o tramite subdole campagne di phishing e social engineering.
Alcuni preferiscono sottrarre dati e rivenderli nel dark web, o chiedere un riscatto attraverso ransomware (una forma temutissima di malware che cripta i dati nei server aziendali, rendendoli inaccessibili ai legittimi proprietari e bloccano l’operatività informatica dell’azienda).
- Cyber Terroristi
I cyber terroristi agiscono per scopi idealistici e sociopolitici. Essi mirano a creare disordini colpendo aziende, governi o infrastrutture critiche. Il loro obiettivo è danneggiare l’economia e causare danni fisici e psicologici, ad esempio mettendo a rischio la sicurezza nazionale, o destabilizzando una specifica comunità o gruppo di persone.
- APT (Advanced Persistent Threat)
Gli APT sono gruppi sofisticati, spesso legati a governi, che perseguono obiettivi di spionaggio ad alto livello, ai fini di condizionamento sociale e/o geopolitico. Sono generalmente dotati di risorse significative e si concentrano su obiettivi strategici. Così da favorire gli interessi politici o economici del loro Paese o Ente “sponsor”, ad esempio destabilizzando una delle parti durante delle trattive diplomatiche, o favorendo azioni militari.
- Hacktivisti
La parola Hacktivismo (in inglese Hacktivism) nasce dalla contrazione fra Hacker e Activism (attivismo). Gli hacktivisti, dunque, attaccano governi o aziende per motivi ideologici o politici. Non sono quasi mai mossi dal profitto, ma da una forte opposizione morale o politica. Gruppi come l’ironicamente famoso Anonymous, un gruppo che si autodefinisce “libera coalizione degli abitanti di Internet”, sono noti per azioni a volte di difficile classificazione tra crimine e difesa delle libertà e dei diritti fondamentali, che possono anche generare forti polarizzazioni fra l’opinione pubblica generale.
- Insider
Una forma di minaccia poco considerata, ma con un altissimo livello di impatto: attacchi interni attuati da Insider, ovvero dipendenti o collaboratori, che agiscono per rancore personale o perché sono stati corrotti da competitor. Poiché hanno accesso legittimo, risultano difficili da rilevare, rendendoli una delle minacce più pericolose. Queste minacce ci ricordano l’importanza di una Policy Aziendale di sicurezza informatica che tenga conto anche di queste remote, ma potenzialmente devastanti minacce.
- Script Kiddies
Gli script kiddies sono attori inesperti, attratti dal fascino di facili guadagni, magari agendo comodamente dal computer di casa, e che utilizzano strumenti e script preconfezionati. Anche senza competenze avanzate, proprio a causa di una tecnologia sempre più avanzata e disponibile (che sfrutta anche le potenzialità emergenti dell’Intelligenza Artificiale) possono causare danni significativi, compromettendo sistemi o diffondendo malware potenzialmente dannosi.
Threat Actors: CHI sono?
- Singoli individui
Questa categoria è quella, come dicevamo, più presente nell’immaginario comune che riguarda agli hacker. Ma, come abbiamo già accennato, non è più la categoria principale e che vedremo dopo. Pur tuttavia, la figura dell’hacker solitario rimane degna di considerazione e va giustamente temuta. In genere, il livello di pericolosità di questi soggetti è direttamente proporzionale alle capacità del singolo. Alcuni di loro, infatti, sono hacker esperti, con una profonda conoscenza dei sistemi informatici, mentre altri sanno accuratamente scegliere fra strumenti preconfezionati, che possono essere anche molto potenti ed efficaci.
- Organizzazioni Criminali
E qui: apriti cielo! Sono ormai svariate e di dimensioni che possono essere Piccole, Medie o Grandi; fino ad arrivare a vere e proprie organizzazioni Multinazionali. Non ti ricorda qualcosa? Esatto: stiamo parlando di Aziende del Crimine.
Tra queste non poteva certo mancare il grande interessamento delle mafie: è ormai evidente che la ‘Ndrangheta ha investito già da diversi anni, come denuncia Nicola Gratteri (noto procuratore antimafia) nel reclutamento di esperti informatici fra le proprie fila.
L’organizzazione del Cyber Crime in queste grandi strutture favorisce fortemente, come vedremo in un prossimo articolo che approfondirà questo aspetto, lo sviluppo di quelle che sono le attuali tecniche di attacco ai danni di organizzazioni legittime, comuni cittadini e aziende di ogni tipo e dimensione.
Organizzazione dei Cyber Criminali Sofisticati
Le organizzazioni di cyber criminali più sofisticate operano in modo quasi identico a quello di un’organizzazione aziendale ben strutturata. Questi gruppi, infatti, sono suddivisi in Team altamente specializzati, ognuno con una specifica funzione all’interno della catena di attacco.
Ad esempio:
- Team specializzati nell’accesso iniziale (Initial Access): Sono responsabili di trovare punti d’ingresso nelle reti bersaglio, spesso utilizzando phishing, exploit o credenziali rubate per infiltrarsi.
- Team dedicati al movimento laterale (Lateral Movement): Una volta dentro la rete, questi specialisti si muovono all’interno dell’infrastruttura, cercando di estendere l’accesso ad altre macchine o ottenere privilegi più elevati per accedere a dati più sensibili.
- Specialisti di esfiltrazione dei dati: Sono incaricati di identificare e sottrarre informazioni preziose dal sistema compromesso, spesso senza essere rilevati.
- Gruppi dedicati al ransomware: Questi gruppi bloccano l’accesso ai dati critici e gestiscono le richieste di riscatto, spesso negoziando direttamente con le vittime.
Ed ora la chicca… il “Customer Service”
All’interno di queste organizzazioni criminali altamente strutturate, oltre ai Team di sviluppo degli strumenti e delle strategie di attacco, esistono persino reparti dedicati al Customer Service! No, non è uno scherzo… Alcuni “Threat Actors” hanno persino un Social Media Manager che pubblica aggiornamenti e post su piattaforme come Telegram, promuovendo le loro attività 🙂
Ma vediamo come opera, nella realtà che supera l’immaginazione, il customer service di un’organizzazione di Cyber Crime per “assistere” le vittime di attacco:
- Gestisce le interazioni con le vittime, fornisce assistenza per garantire che il pagamento del riscatto venga effettuato senza problemi.
- Assistenza per il pagamento in criptovaluta: Le vittime, che spesso non hanno familiarità con il mondo delle criptovalute, ricevono istruzioni dettagliate su come acquistare Bitcoin o altre criptovalute, come trasferirle al portafoglio digitale dei criminali e come verificare la corretta esecuzione del pagamento.
- Decriptazione dei dati: Dopo il pagamento del riscatto, i cybercriminali forniscono alla vittima un software per decriptare i dati rubati. In alcuni casi, i team di supporto tecnico offrono indicazioni dettagliate su come utilizzare questo software per assicurarsi che i file vengano recuperati con successo.
- “Garanzie” post-pagamento: Per creare un livello di fiducia nel contesto criminale, alcune organizzazioni forniscono garanzie o promesse che i file verranno restituiti dopo il pagamento. Questi criminali sanno che una “buona reputazione” nel mondo del ransomware può spingere altre vittime a pagare.
Assistenza a clienti hacker
E per un hacker che acquista una soluzione preconfezionata, o che affitta delle macchine compromesse (solitamente dei server già hackerati, a insaputa dei proprietari, e “dati in uso” a pagamento) per trarne un proprio vantaggio?
In questi casi il customer service offre supporto tecnico per aiutare nelle configurazioni, risolvere bug o problemi tecnici e gestire i pagamenti tra chi ha creato il servizio criminale e chi ne acquista i servizi.
E hacking “a pacchetto”
Molti gruppi di threat actor si occupano solo di sviluppo malware, per esempio alcuni adottano il modello di Ransomware-as-a-Service (RaaS). In questo contesto, i gruppi sviluppatori di ransomware affittano il loro malware ad altri criminali, che non devono avere necessariamente competenze tecniche avanzate. Il sistema è molto simile ai modelli di abbonamento legittimi, quindi:
- Gli abbonati pagano una fee per ottenere l’accesso al ransomware (praticamente pagano la licenza)
- Si fornisce supporto tecnico
- Dopo un attacco riuscito, il guadagno viene diviso tra l’organizzazione madre e l’affiliato (se previsto)
Questa tipologia di attività rende necessario operare anche a livello di marketing e, in particolare nel mondo del ransomware e del phishing, prevede la promozione e distribuzione dei loro strumenti attraverso strategie simili a quelle delle aziende legittime: si pubblicizzano i malware sui forum dedicati sul dark web, si offrono sconti, demo gratuite ecc…
“Guadagni chi può, poiché tutto è da vendere.” Geoffrey Chaucer – Filosofo inglese del XIV Secolo
Come sempre ci rifacciamo a uno dei nostri motti principali: Un sistema sano, è un sistema consapevole. Solo un senso comune di valore e rispetto reciproco per la vita privata e professionale delle persone, può generare una società migliore. Condividiamo con te questo pensiero che, forse, potrà suonare un po’ altisonante e sgraziato detto da un’azienda di Cyber Security; ma noi ci crediamo davvero.
E, a tale scopo, ci rimbocchiamo ogni giorno le maniche, per dare il nostro contributo tecnico e umano, a partire dal rapporto con i nostri clienti, ma anche fra noi colleghi e verso tutti i nostri partner.
