Crimine informatico: L'economia sommersa
Il successo di un'industria dipende dalla sua economia - la produzione, l'allocazione e l'utilizzo dei suoi beni e servizi. Il crimine informatico, come qualsiasi altra industria o attività commerciale, mantiene la propria economia di prodotti e servizi mercificati.
Prodotti
I prodotti dell'economia del crimine informatico, come qualsiasi altro prodotto in qualsiasi altro settore, vanno a beneficio sia del venditore che degli acquirenti. I venditori beneficiano di un pagamento rapido e discreto, mentre gli acquirenti beneficiano di operazioni dannose "fuori dagli schemi" che possono essere implementate immediatamente. Questi prodotti possono essere suddivisi in due categorie principali: informazioni e risorse.
Le informazioni includono materie prime come:
- Informazioni personali identificabili (PII) rubate: Questo include tutto, dalle liste di e-mail di massa utilizzate dagli spammer ai pacchetti completi di furto d'identità per commettere frodi finanziarie.
- Informazioni organizzative esfiltrate: Questo include capitale intellettuale/proprietà, dati interni non pubblici e dettagli operativi interni.
- Credenziali di autenticazione rubate: Le combinazioni di nome utente e password rubate continuano a rappresentare un rischio significativo al giorno d'oggi, soprattutto quando le stesse credenziali vengono riutilizzate su più siti.
- Dati finanziari falsificati: I prelievi non autorizzati dai conti o gli addebiti sulle linee di credito continuano ad affliggere i correntisti.
Le risorse includono elementi come:
- Accesso a malware ricco di funzionalità: I malware con diverse capacità (ad esempio, ruba-informazioni, strumenti di amministrazione remota - RAT, ransomware, utility costruite ad hoc) che dimostrano risultati coerenti ed evitano la fuga del codice sorgente, possono generare entrate significative per gli autori e i distributori associati.
- Acquisto di exploit di sistema o software: Mentre molti cappelli bianchi scelgono di sostenere le iniziative di bug bounty da parte dei venditori, rimane un lucroso mercato clandestino di exploit affidabili e senza patch.
- Trasferimento del controllo di macchine precedentemente compromesse: Questo di solito si applica ai server always-on che possono poi essere utilizzati come piattaforme di attacco o venduti per le informazioni che memorizzano.
- Formazione per attori maligni: La formazione viene offerta attraverso guide o tutorial sull'uso efficace degli strumenti e su tattiche, tecniche e procedure specifiche (TTP).
Servizi
I servizi offerti nell'ambito dell'economia del crimine informatico utilizzano una struttura di leasing, in cui l'accesso a un prodotto viene promesso a una tariffa stabilita per un periodo di tempo fisso. I venditori beneficiano di una fonte garantita di entrate ricorrenti per un periodo di tempo prolungato, e gli acquirenti beneficiano della disponibilità e delle prestazioni continue di strumenti dannosi.
Questi servizi comprendono offerte come:
- Negazione distribuita del servizio (DDoS): Si tratta di attacchi alimentati da botnet che colpiscono la disponibilità di server e funzionalità mirate.
- Kit di exploit (EK): Come parte dell'offerta di servizi, i kit di exploit sono tipicamente affittati con una tariffa mensile per l'accesso al toolkit di exploit, che consente di personalizzare i payload finali.
- Noleggio di infrastrutture: Comprendono servizi di hosting per piattaforme di attacco, aggiornamenti di malware, configurazione, comando e controllo (C2) e altre funzioni del ciclo di vita dell'attacco.
- Riciclaggio di denaro: Questo è noto come il trasferimento ("money muling") di fondi ottenuti illegalmente attraverso conti e meccanismi in Paesi paradiso del denaro, rimane un servizio chiave.
Legga la nostra serie di blog Esplorare il sottosuolo della criminalità informatica per saperne di più.