Sono finiti i tempi in cui i gruppi criminali dietro ai ransomware lanciavano campagne di spam di massa nella speranza di infettare vittime casuali. Oggi complessi cartelli di gruppi criminali hanno le competenze, gli strumenti e i fondi che gli permettono di programmare attacchi mirati.

Come aziende del mondo reale, beneficiano di una supply chain: gruppi criminali che fanno da "broker degli accessi" rivendendo database di account compromessi, connessioni RDP compromesse, exploit per vulnerabilità note che consentono l'accesso ad apparecchiature di rete quali i firewall, e alle connessioni VPN. Tutto questo agisce da volano per la violazione di reti aziendali mirate, attraverso sistemi compromessi.

Sono proprio gli endpoint violati, i dispositivi di rete con backdoor e i computer infettati da malware a costituire un accesso facile e sicuro alle reti aziendali, da cui partire con movimenti laterali per crittografare i dati sensibili e richiedere enormi riscatti. Questo fa dei broker di accesso una componente cruciale della scena della criminalità informatica, da monitorare e combattere.

Per bloccare un ransomware bisogna essere in grado di bloccare il vettore principale di infezione dei dispositivi di rete e degli endpoint. Vale quindi la pena riepilogare i ceppi di malware noti che sono stati utilizzati negli ultimi due anni per installare ransomware. Le informazioni sono state raccolte da Advanced Intelligence, Binary Defense e Sophos. Sono importanti perché nel momento in cui un responsabile della cyber security avvista una di queste minacce, dovrebbe abbandonare tutto quello che sta facendo e dare priorità alla sua rimozione immediata.

Emotet

È considerato il maggiore botnet malware dei nostri tempi. Molte infezioni ransomware sono state ricondotte a iniziali infezioni Emotet. Questo perché in genere i cyber criminali dietro a Emotet rivendono l'accesso ai sistemi infetti a gruppi terzi, che a loro volta li smerciano a gruppi ransomware. La successione diabolica di infezione più diffusa oggi è Emotet-Trickbot-Ryuk.

Trickbot e BazarLoader

Trickbot è un botnet malware simile a Emotet. Può infettare direttamente le proprie vittime, ma in genere i criminali informatici che lo gestiscono acquistano l'accesso ai sistemi infettati da Emotet per allargare l'area di azione.

Quando i database di sistemi infetti sono abbastanza corposi, in genere vengono rivenduti a gruppi criminali che distribuisono Ryuk, oppure un altro ransomware noto come Conti.

BazarLoader è meno noto dei due vettori d'infezione precedenti. È considerato una backdoor modulare, sviluppata da un gruppo di criminali che hanno abbandonato Trickbot, di cui continuano a seguire il modello. Hanno già collaborato con gruppi ransomware noti (soprattutto Ryuk) per fornire loro l'accesso ai sistemi infettati.

QakBot e SDBBot

QakBot, noto anche come Pinkslipbot, Qbot, o Quakbot, è un emulatore di Emotet. In genere presenta le stesse caratteristiche, con un ritardo di qualche mese rispetto al capostipite ispiratore. Agisce con lo stesso modus operandi, ossia infetta sistemi per poi rivendere gli accessi ai sistemi infettati a gruppi ransomware. Di recente ci sono indicazioni della collaborazione con MegaCortex, ProLock e Egregor, l'erede di Maze.

SDBBot è un ceppo di malware gestito da un gruppo criminale noto come TA505. Non è particolarmente diffuso, ma è stato identificato come punto di origine di incidenti che hanno avuto come protagonista il ransomware Clop.

Dridex

Particolarmente diffuso in Italia, Dridex è un trojan bancario che si è reinventato come "downloader di malware", seguendo le orme di Emotet e Trickbot. In passato ha alimentato campagne di spam per la distribuzione del ransomware Locky verso utenti casuali. Di recente ha rivenduto gli accessi ai sistemi infetti ai gruppi ransomware BitPaymer e doppelPaymer, che li hanno usati per attacchi mirati contro obiettivi di alto valore.

Zloader e Buer

I cyber criminali che usano Zloader hanno iniziato solo di recente a rivendere i sistemi infetti, ma in poco tempo hanno stretto alleanze importanti con Egregor e Ryuk. 

Buer, o Buer Loader, è in circolazione dalla fine dello scorso anno, ma collabora già con gruppi ransomware di rilevo come Ryuk.

Phorpiex e CobaltStrike

Phorpiex, o Trik, è una piccola botnet malware piuttosto insidiosa. Ha alimentato alcuni degli attacchi più devastanti con il ransomware Avaddon, che non è molto conosciuto, ma dev'essere tenuto al pari di quelli più popolari.

CobaltStrike è uno strumento di test di penetrazione sviluppato per i ricercatori di sicurezza informatica. Il guaio è che spesso viene usato impropriamente da gruppi criminali. Non è un vettore di infezione come Emotet, viene impiegato per distribuire componenti dei ransomware nelle reti vittime, per controllare più sistemi all'interno di una rete interna e come precursore dell'attacco ransomware effettivo. Anche se non si tratta a tutti gli effetti di un malware, è di fatto usato come tale ed è molto pericoloso.