Hacker: chi sono e come difendersi
Approfondimento sui gruppi più noti e le loro imprese. I cyber attaccanti sono diventati vere e proprie aziende criminali; Come Difendersi dagli Hacker?
Conoscere il proprio nemico
“L’arte della guerra” di Sun Tzu, scritto più di 2.500 anni fa, afferma chiaramente che per difendersi, anche dagli hacker, è necessario comprendere sia il nemico che se stessi; solo così si può affrontare con sicurezza qualsiasi battaglia.
È imperativo riconoscere l’importanza di comprendere i nostri avversari nella sicurezza informatica per capire le TTP (tecniche, tattiche e procedure) che utilizzeranno per colpirci.
Gli attori delle minacce evolvono continuamente le loro tattiche, diventando ogni giorno più efficaci e avanzati.
Non dobbiamo illuderci di credere che le misure di difesa implementate qualche anno fa saranno sufficienti entro il 2022; gli strumenti e le misure di difesa devono evolversi insieme.
FlashStart ha sviluppato un sistema di sicurezza avanzato che protegge da numerose minacce e blocca l’accesso a siti web dannosi, che possono essere la fonte degli attacchi.
Gli hacker di oggi non sono più come una volta
Un tempo gli hacker avevano un atteggiamento malizioso e gioviale.
La parola “hacker” deriva dal verbo “to hack”, che significa “fare a pezzi” o “penetrare”.
Negli anni Cinquanta, il termine “hacking” è stato ripreso al Massachusetts Institute of Technology (MIT) di Boston per indicare l’atto di non rispettare i regolamenti interni accedendo ai tunnel come scorciatoie tra gli edifici del campus – una pratica definita “tunnel hacking”.
Qui nacque l’etica hacker, una sorta di “manifesto programmatico” che risuonava con lo spirito libertario di quell’epoca.
L’hacking è stato e continua a essere un atto di esplorazione, manipolazione e comprensione del funzionamento interno di qualcosa per identificarne e migliorarne i difetti. Richiede intuizione, genio e arte.
È importante riconoscere che non tutto l’hacking è negativo; occorre distinguere tra i vari tipi di hacker.
I white hat hacker, o “hacker etici”, sono quelli “buoni” che usano la loro esperienza informatica in modo legale per identificare le vulnerabilità del software attraverso test di penetrazione e segnalarle all’azienda produttrice, anche a pagamento!
I black hat hacker, noti anche come “hacker immorali”, utilizzano le loro competenze con intenti malevoli per ottenere un profitto illegale.
Dobbiamo sottolineare l’evoluzione della figura dell’hacker, in particolare per quanto riguarda la criminalità informatica e gli hacker black hat.
L’hacker è tipicamente ritratto nella cultura popolare come un giovane uomo che indossa una felpa scura e un cappuccio, chino su una tastiera – la classica immagine del “nerd”.
Questa figura non deve essere presa in considerazione, perché non è più valida!
Sono finiti i tempi degli hacker “lupi solitari” e degli “smanettoni” che hackeravano per curiosità o ribellione; sono stati sostituiti da gruppi organizzati con intenti malevoli.
Sono intenzionati a fare soldi e a rubare dati, e conducono la ricerca e lo sviluppo con lo stesso livello di impegno di un’azienda per raggiungere i loro obiettivi criminali.
Le squadre sono composte da molti individui, ognuno con ruoli e responsabilità specifiche. Hanno stabilito una struttura organizzativa e un modello di business che assomiglia a quello di un’azienda reale.
La capacità tecnologica è essenziale per la costruzione e la manutenzione di malware sofisticato; pertanto, l’hacker in felpa e cappuccio, se esiste, è solo una parte di un processo produttivo più intricato.
La Cybercrime S.p.A. richiede una conoscenza approfondita dell’interfaccia o dell’applicazione da attaccare e una completa localizzazione nelle lingue dell’attaccante. Inoltre, gli attacchi di successo devono essere confezionati in messaggi o e-mail che appaiono affidabili e attraenti; quindi, anche il ruolo dello psicologo è essenziale.
Le e-mail di phishing sono diventate sempre più sofisticate, rendendo difficile distinguerle dai messaggi autentici. Il concetto di “italiano cattivo” non è più applicabile.
Gli esperti finanziari sono essenziali per il successo di un attacco, in quanto hanno il compito di riciclare e ripulire il denaro rubato fino a quando non rimangono tracce.
FlashStart è promotore della cultura della cybersecurity attraverso la divulgazione di articoli di autori certificati come questo. Il Software Cloud FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli. Inizia ora la prova gratuita.
Quali sono i gruppi hacker più attivi
Il ransomware è oggi la minaccia informatica più comune, la più temuta dalle aziende e la più redditizia per gli aggressori.
Il ransomware ha rappresentato il 67% di tutti gli attacchi malware nel 2020, come riportato nel Rapporto Clusit 2021.
Cybersecurity Ventures riporta che nel 2021 gli attacchi ransomware si sono verificati in tutto il mondo ogni 11 secondi, per un totale di 20 miliardi di dollari di danni alle aziende in un solo anno.
Alcuni gruppi sono stati particolarmente attivi nella distribuzione di ransomware, causando attacchi sensazionali a grandi organizzazioni con richieste di riscatto che hanno raggiunto decine di milioni di dollari.
Ryuk
Il ransomware in lingua russa ha attaccato in modo aggressivo le grandi organizzazioni dall’agosto 2018, chiedendo riscatti elevati. Uno dei primi gruppi a sviluppare programmi di affiliazione RaaS è stato responsabile dell’attacco a Bonfiglioli SpA in Italia nel giugno 2019.
REvil/Sodinokibi
Il ransomware Resident Evil è emerso nel 2019, probabilmente una derivazione del virus GandCrab. Si ritiene che abbia sede nella Federazione Russa e che non abbia legami con organizzazioni politiche o governative.
REvil è uno dei modelli di ransomware as a service più attivi e rappresenta l’11% di tutti gli attacchi. Detiene il record della più alta richiesta di riscatto del 2021, con ben 70 milioni di dollari nell’attacco Kaseya.
JBS S.A., la più grande azienda di lavorazione della carne al mondo, è stata colpita dal ransomware REvil/Sodinokibi. Nel settembre 2021, Bitdefender ha annunciato il rilascio di un decriptatore universale per combattere il ransomware.
L’FSB, il servizio di intelligence russo, ha condotto un’operazione di successo nel gennaio 2022, arrestando 14 membri del gruppo REvil e smantellando definitivamente la banda. La Russia ha sottolineato pubblicamente il successo di questa operazione, probabilmente per dimostrare il proprio impegno nella lotta alla criminalità informatica e per dimostrarlo agli Stati Uniti. L’agenzia FSB ha dichiarato di aver agito sulla base di informazioni fornite dagli Stati Uniti.
Ragnar Locket
Emerso per la prima volta nel 2019, il ransomware Ryuk ha rapidamente guadagnato notorietà nella prima metà del 2020 per aver preso di mira grandi organizzazioni e aver messo in atto pratiche di doppia estorsione. È stato responsabile dell’attacco Campari nel 2020, che ha richiesto un riscatto di 15 milioni di dollari. Le prove suggeriscono che Ryuk ha unito le forze con il cartello di ransomware Maze, indicando una collaborazione tra i due gruppi.
Maze
Nel maggio 2019, Maze ha introdotto la Double Extortion, una tattica che prevedeva la minaccia di rendere pubblici i file. Il gruppo ha proseguito questi attacchi fino a settembre 2020, quando ha annunciato la cessazione delle operazioni. Tuttavia, è possibile che il gruppo sia riemerso con un nome diverso.
DoppelPaymer
Nel 2019, il successore dell’ormai defunto ransomware BitPaymer (noto anche come FriedEx) è emerso e ha causato scompiglio in Italia, in particolare nelle pubbliche amministrazioni. L’Anagrafe scolastica, il Comune di Caselle Torinese, il Comune di Rho, la USL Umbria 2 e il Comune di Brescia sono stati tra le vittime di questo ransomware.
Nel novembre 2019, l’America è stata bersaglio di un attacco ransomware contro la Pemex Oil del Messico e la città di Torrance nell’area metropolitana di Los Angeles, con richieste di riscatto di 100 bitcoin (689.147 dollari) e 200 GB di dati esfiltrati. Inoltre, anche la contea di Delaware, in Pennsylvania, è stata colpita e ha pagato un riscatto di 500.000 dollari.
DarkSide
L’attacco di origine russa al Colonial Pipeline negli Stati Uniti (maggio 2021) è ampiamente noto. Ne abbiamo parlato nel nostro articolo.
Lockbit
Con sede in Russia, opera dal febbraio 2020 e vanta un modello commerciale altamente evoluto che include un programma di affiliazione RaaS. Si stima che questo programma abbia almeno 30 affiliati, ciascuno con una media di 70-80 attacchi.
Conti
Il gruppo è emerso nel luglio 2020, probabilmente da uno spinoff di Ryuk.
Questo gruppo è eccezionalmente ben strutturato, utilizza programmi di affiliazione e recluta membri in base alle loro capacità tecniche. Promuove la collaborazione tra gli affiliati e di recente ha puntato su San Carlo (una rinomata azienda di patatine) e sulla Città di Torino nel 2021.
RansomExx
La Regione Lazio è stata colpita da un ransomware all’inizio di agosto 2021.
Everest
La banda di ransomware emersa nel dicembre 2020 ha lasciato il segno attaccando la SIAE, la Società Italiana degli Autori ed Editori, nell’ottobre 2021. L’attacco ha portato all’esposizione dei dati personali degli associati, soprattutto cantanti.
Proteggetevi da una serie di minacce e impedite l’accesso a siti pericolosi con FlashStart. Registrati oggi stesso per una prova gratuita.
I gruppi di hacker in base allo stato
I criminali informatici, non i gruppi di hacker, hanno come obiettivo principale il guadagno finanziario, di solito attraverso l’estorsione di ransomware. Queste bande sono spesso collegate tra loro, ma possono essere considerate entità private.
Inoltre, esistono gruppi di hacker sponsorizzati dallo Stato e legati a Stati e governi.
La guerra non si combatte più negli spazi bellici tradizionali come la terra, il mare e il cielo, ma nel cyberspazio e gli Stati si impegnano in questo tipo di guerra attraverso la formazione di gruppi specializzati.
La guerra cibernetica è un conflitto che si combatte in modo occulto e sotto la superficie.
La guerra cibernetica è condotta da gruppi che si sospetta siano legati ai governi, anche se non sempre ci sono prove evidenti. Un vantaggio della guerra informatica è la difficoltà di rintracciare l’attacco, in quanto gli aggressori possono facilmente coprire le loro tracce.
I gruppi di hacker sponsorizzati dagli Stati sono classificati in base ai nomi assegnati loro dalle società di sicurezza informatica e lo stesso gruppo può avere più denominazioni. Una delle classificazioni più diffuse è il sistema APT, che viene identificato con un numero.
Le nazioni sono spesso indicate con il nome di un animale; ad esempio, la Russia è conosciuta come l’Orso, la Cina come il Panda, l’Iran come il Gattino e la Corea del Nord come il Cobra.
Una classificazione completa e approfondita di tutti questi gruppi è disponibile sul sito web del MITRE a questo link: https://attack.mitre.org/groups/.
Attacco “Dropper”: Come difendersi
I gruppi di criminali informatici possiedono potenti capacità di attacco e motivazioni che possono essere politico-militari o economiche, a seconda che siano sponsorizzati o meno da uno Stato.
Le aziende e le organizzazioni dovrebbero diffidare di coloro che prendono di mira il nostro denaro o i nostri dati, perché è essenzialmente la stessa cosa che prendere di mira il nostro denaro.
Le tecniche di attacco possono essere complesse, ma in genere si basano su TTP (tecniche, tattiche e procedure) consolidate.
L’attacco “Dropper”
L’attacco più frequente utilizza un dropper, come una macro di Excel o Word o un file VBS, per Inserirsi nel sistema bersaglio e avviare una connessione ai server Command&Control (C&C) dell’attaccante per scaricare il malware e completare l’attacco.
Misure di protezione dagli hacker e dal “Geoblocking”
FlashStart riduce significativamente il rischio di ingresso di Droppers bloccando l’accesso ai siti compromessi/pericolosi a livello di DNS e consentendo il blocco della risoluzione DNS ai siti ospitati in paesi considerati pericolosi attraverso l’esclusiva funzione di “Geoblocking”.
Possiamo abilitare con sicurezza la risoluzione DNS parziale di siti specifici provenienti da questi Paesi, in totale flessibilità e sicurezza.
FlashStart è la scelta migliore per i prezzi competitivi. Contattateci per un preventivo.