L’attività degli hacker non è limitata alla sottrazione delle informazioni. Spesso, i cybercriminali riescono a celare a lungo la loro presenza su server compromessi, sia in cloud sia on-premise, ma nel frattempo non rimangono dormienti e cercano di monetizzare sfruttando gli account compromessi. Lo evidenzia il report The Hacker Infrastructure and Underground Hosting: Services used by criminals di Trend Micro, che analizza i sistemi adottati dai criminali informatici per guadagnare alle loro azioni.
«Il mercato cybercriminale underground offre una gamma sofisticata di infrastrutture in grado di supportare qualsiasi genere di campagna, dai servizi che garantiscono l’anonimato alla fornitura di nomi dominio, passando per la compromissione di asset», ha dichiarato Gastone Nencini, country manager di Trend Micro Italia. «L’obiettivo di Trend Micro è accrescere la consapevolezza e la comprensione dell’infrastruttura cyber criminale per aiutare le Forze dell’Ordine, i clienti e più in generale altri ricercatori a fermare le autostrade del cybercrime e le loro fonti di guadagno».
Uno degli indicatori che talvolta viene sottovalutato è la presenza di cryptominer nei sistemi aziendali, una particolare categoria di malware che agisce nell’ombra e, apparentemente, fa relativamente pochi danni. Questi virus infatti non sono mirati a sottrarre informazioni riservate, ma sfruttano le risorse di calcolo dei server compromessi per minare criptovalute. Trend Micro però consiglia estrema prudenza: sebbene il cryptomining da solo non possa causare interruzioni o perdite finanziarie, il software di mining viene solitamente implementato per monetizzare i server compromessi che rimangono inattivi mentre i criminali tracciano schemi di guadagno più ampi, come l’esfiltrazione di dati sensibili, la vendita dell’accesso al server per ulteriori abusi o la preparazione per un attacco ransomware mirato.
Secondo Trend Micro, i server cloud sono particolarmente esposti perché potrebbero non avere la stessa protezione degli ambienti on-premise. «Asset aziendali legittimi ma compromessi possono essere infiltrati nelle infrastrutture sia on-premise che in cloud», prosegue Nencini. «Una buona regola da tenere presente è che qualsiasi asset esposto può essere compromesso».
I cybercriminali potrebbero sfruttare vulnerabilità nei software server, compromettere credenziali, sottrarre log-in e inoculare malware attraverso attacchi di phishing. Potrebbero prendere di mira anche i software di infrastructure management, che permetterebbe loro di creare nuove istanze di macchine virtuali o altre risorse. Una volta compromessi, questi asset di server cloud possono essere venduti nei forum underground, nei marketplace e addirittura nei social network, per essere poi utilizzati per diversi tipi di attacchi
Lo studio completo di Trend Micro è disponibile a questo indirizzo.
