I gruppi di ransomware che lanciano campagne di spam e-mail di massa infettando utenti casualmente e con l’aiuto dei dipendenti sbadati o frettolosi, sono oggi affiancati da operatori di ransomware evoluti che lavorano in. strutture organizzate verticalmente.
Al giorno d’oggi, le gang di ransomware lavorano in partnership con “broker di accesso iniziale”. Questi broker operano approvvigionando le bande di ransomware (e altri) con accessi a reti e sistemi pre-compromessi. Infatti, partendo da endpoint compromessi (ad esempio il PC di un dipendente maldestro che ha cliccato inavvertitamente su una email o file infetto) i broker accedono poi facilmente alle reti aziendali e relativi asset, quindi vendono tali accessi alle bande di ransomware che si occuperanno di sferrare operativamente gli attacchi su tali rete compromesse.
Oggi, tre tipi di broker si distinguono come le fonti della maggior parte degli attacchi ransomware:
Venditori di endpoint RDP compromessi: le gang di criminali informatici stanno attualmente effettuando attacchi di forza bruta contro workstation o server configurati per l’accesso RDP remoto che sono stati anche lasciati esposti su Internet con credenziali deboli. Questi sistemi vengono successivamente venduti nei cosiddetti “negozi RDP” da cui le bande di ransomware spesso selezionano sistemi che ritengono possano trovarsi all’interno della rete di un obiettivo di alto valore.
Venditori di dispositivi di rete compromessi: le gang di criminali informatici utilizzano anche exploit per vulnerabilità note pubblicamente per assumere il controllo delle apparecchiature di rete di un’azienda, come server VPN, firewall o altri dispositivi periferici. L’accesso a questi dispositivi e alle reti interne che proteggono / connettono viene venduto su forum di hacking o direttamente a gruppi di ransomware.
Venditori di computer già infettati da malware: molte delle odierne botnet malware setacciano spesso i computer che infettano per i sistemi sulle reti aziendali e poi vendono l’accesso a questi sistemi di alto valore ad altre operazioni di criminalità informatica, comprese le gang di ransomware.
Sebbene la protezione contro i primi due implichi in genere la pratica di buone politiche per le password e l’aggiornamento delle apparecchiature, il terzo vettore è più difficile da proteggere. Questo perché gli operatori di botnet malware spesso si affidano all’ingegneria sociale per indurre gli utenti a installare malware sui propri sistemi, anche se i computer eseguono software aggiornato.
Gli strumenti ad approccio ZEROTRUST offrono il maggior grado di sicurezza possibile contro questo tipo di cyber-crime in quanto proteggono gli end-point in modo moderno ed evoluto, con tecnologie signatureless e leggere, invisibili. agli hacker e che lavorano pro-attivamente per contrastare un attacco anche con. tecnologia “ad inganno” (ndr: Deceptive Bytes).