Il business del crimine informatico e la sua catena di valore
Il panorama della sicurezza informatica si è esteso a tal punto che la maggior parte delle minacce IT si verificano con l’intento di generare un guadagno economico per i loro creatori e finanziatori. Sulla base di questa premessa, vari tipi di attacco o minaccia hanno proliferato e si sono evoluti per interessare un numero maggiore di utenti e organizzazioni.
Il “modello commerciale” del crimine informatico si basa sul creare una catena di valore che offra nuovi metodi: per esempio, il crimine informatico inteso come servizio e quindi l’atto di facilitare attività illegali tramite servizi. In altre parole, chiunque può ottenere tutto quello che serve per organizzare frodi o attacchi, indipendentemente dalle proprie capacità o conoscenze tecniche.
Servizi di crimine informatico per il miglior offerente
Il modello di servizi di vendita rappresenta la naturale evoluzione dell’offerta in un mercato che sta rispondendo ad una domanda che è in costante crescita. Ciò significa che gli sviluppatori di attacchi IT, così come quelli che vendono furti o appropriazioni di dati, hanno iniziato ad estendere il proprio portfolio, le attività e le operazioni in un mercato che richiede questo tipo di servizio, sia che si tratti di attaccare aziende, industrie, utenti, o addirittura i governi
- Servizio per Frode (FaaS)
Nell’arena del crimine informatico, una delle industrie più colpite dalle frodi è quella bancaria. Un numero significativo di minacce nell’era digitale è stato sviluppato per generare perdite per gli utenti, soprattutto nel settore delle carte di credito e di debito, anche se la frode non si limita solo a questa area di transazione.
Allo stesso modo, la gamma di minacce si estende dal rubare carte di credito, lo skimming e l’ingegneria sociale agli attacchi via phishing, a malware come i POS (Point of Sale) e ai trojan bancari – e tutti con l’intenzione di ottenere dati bancari. In questo contesto, viene offerto il servizio per frode, che va dalla vendita di strumenti per effettuare lo skimming, a codici malevoli specificamente sviluppati per rubare dati finanziari, come Zeus.
- Servizio per Malware (MaaS)
Inoltre, alcuni anni fa, i codici malevoli hanno cominciato ad essere offerti come servizio, e sviluppati per attività specifiche parallelamente ai kit exploit. Una volta infiltrati nei sistemi tramite le vulnerabilità, possono inserire malware per rubare dati e password, spiare le attività degli utenti, inviare spam, e accedere e controllare da remoto la parte infetta utilizzando un’intera infrastruttura di comando e controllo (C&C)
Questo stesso principio è stato utilizzato per cominciare a diffondere ransomware, cioè codici malevoli progettati per appropriarsi di file o sistemi per poi chiedere un pagamento per poterli recuperare, portando in questo modo il principio di estorsione, applicato al contesto digitale, ad un livello completamente nuovo. I Kit di exploit o i botnet, come Betabot, hanno iniziato a diversificare le loro attività malevole.
- Servizio per Ransomware (RaaS)
Il concetto principale del servizio per ransomware si concentra sul fatto che le persone che sviluppano questo tipo di minaccia non sono le stesse che la propagano – il loro compito si limita a sviluppare strumenti che sono in grado di generare questo tipo di malware automaticamente. Di conseguenza, si tratta di un gruppo diverso di persone che usa questi strumenti per crearla e diffonderla, indipendentemente dalle loro abilità o conoscenze tecniche.
In questo modello commerciale, sia gli sviluppatori di strumenti per la generazione di ransomware che le persone che li distribuiscono, godono di uno guadagno finanziario, in un rapporto che beneficia entrambe le fazioni. Un esempio ben noto di servizio ransomware è Tox
- Servizio per Attacchi (AaaS)
Nello stesso contesto, anche gli attacchi possono essere offerti come un servizio. Ad esempio, diversi attacchi come i distributed denials of service (DDoS) possono essere il risultato di un gran numero di sistemi infetti appartenenti a botnet che vengono offerti e ingaggiati per fare in modo che questo tipo di attacco possa essere effettuato. Inoltre possono essere utilizzati per diffondere più codici malevoli, inviare mail di massa indesiderate o addirittura essere utilizzati per rubare bitcoin.
Lo sviluppo del crimine informatico e i paradigmi della sicurezza informatica
Come è evidente, esiste una vasta gamma di minacce informatiche che possono interagire per offrire nuove opzioni all’industria del crimine informatico, e che sono a disposizione di chiunque abbia abbastanza risorse per acquisirle.
Nel settore della sicurezza informatica, è importante sottolineare che le nuove condizioni che si sono evolute negli ultimi anni mettono faccia a faccia due fazioni: le persone responsabili della protezione dei beni chiave nelle organizzazioni e i gruppi organizzati specializzati che investono tempo e denaro nello sviluppo di questi servizi di criminalità informatica in un mercato che continua ad avere bisogno di loro.
In questo contesto, la gestione della sicurezza dei dati è passata dal chiedersi se l’organizzazione potrà o non potrà essere compromessa, alla certezza che l’organizzazione sarà attaccata e che è solo una questione di tempo prima che ciò si verifichi. Quindi, da questo punto di vista, le misure di sicurezza possono essere proattive, cioè realizzare scenari possibili in cui i dati o altri beni possono venire danneggiati, in modo che i processi e i dati siano protetti olisticamente.
Ciò comporta anche lo sviluppo di strategie difensive, offensive, reattive e proattive, per cercare di evitare o risolvere i problemi di sicurezza e ridurre i rischi ad un livello accettabile, in linea con la propensione o l’avversione al rischio di ogni organizzazione. L’attenzione, inoltre, porta la sicurezza ad essere un processo che attraversa attività essenziali del business e che ha bisogno di essere migliorata costantemente.
Commenti