Blog WatchGuard

Il mercato nero delle credenziali, più attivo che mai

Esistono decine di migliaia di pagine e forum illegali sul dark web che non sono indicizzati dai motori di ricerca, quindi rimangono nascosti a meno che l'utente non conosca già l'indirizzo. Tra questi figurano anche forum di discussione in cui vengono condivise tecniche o strumenti con cui lanciare attacchi informatici e che fungono anche da mercato nero per l'acquisto e la vendita di dati ottenuti illecitamente. Ovviamente, tutte queste transazioni sul mercato nero vengono eseguite utilizzando criptovalute e altri metodi di difficile tracciabilità.

IAB e RaaS

Sempre più spesso, questi siti vengono utilizzati per campagne di ransomware in cui i criminali informatici spendono qualche dollaro in strumenti oppure acquistano credenziali complete e, se riescono nel loro intento, effettuano estorsioni ransomware per centinaia di migliaia di dollari. In questi mercati sono coinvolti due importanti "attori":

- IAB (Initial Access Broker): individui o gruppi che riescono a ottenere dati come le credenziali di accesso alle reti aziendali, un bene di grande valore; 

- operatori di ransomware: gli acquirenti di queste credenziali che poi eseguiranno la campagna dannosa utilizzando tali dati oppure, come accade sempre più spesso, operatori che offrono i loro servizi come gruppo ransomware-as-a-service (RaaS) agli hacker, che quindi eseguono l'attacco.

Cifre triplicate

Pochi settimane fa, un gruppo di analisti degli attacchi informatici ha pubblicato un report in cui analizza centinaia di questi forum del dark web: il numero di credenziali di accesso alle reti aziendali in vendita è aumentato da 362 nell'analisi precedente a 1.099 - cifre triplicate in un solo anno.

Il report rileva che la domanda in questo mercato è cresciuta in linea con la proliferazione degli attacchi informatici ransomware. Molti individui e gruppi sono incoraggiati ad entrare nel mercato, visto che ormai sono numerosissime le organizzazioni che pagano riscatti di milioni di dollari. Ma anche l'aumento del lavoro da remoto dovuto alla pandemia viene indicato come causa chiave di questo incremento. Molte delle credenziali in vendita appartengono a strumenti VPN e RDP.

Remote Access Point (RAP)

Il nostro Internet Security Report per il 3° trimestre 2021 evidenzia questo boom di ransomware e attacchi informatici che sfruttano gli strumenti del lavoro da remoto. In questo scenario, si consiglia alle organizzazioni di implementare soluzioni RAP (Remote Access Point) che consentono un accesso completamente sicuro alle reti aziendali dell'organizzazione.

Che sia da una filiale o da casa, i dipendenti sono così connessi a un access point Wi-Fi affidabile, che tramite una rete VPN IPSec IKEv2 si collega alle sedi centrali dove sono ospitati i server, a loro volta protetti da un dispositivo firewall di ultima generazione.

Inoltre, ciò consente ai team IT dell'organizzazione di gestire l'accesso remoto alla rete aziendale in modo semplice e a livello centrale e di mantenere un controllo rigoroso su autorizzazioni e credenziali, poiché consente loro anche di implementare soluzioni avanzate di autenticazione avanzata a più fattori (MFA) per verificare e gestire correttamente l'identità di ciascun utente. In tal modo, le reti aziendali sono molto più protette dai tentativi degli IAB di ottenere le credenziali.