I crimini informatici sono in costante aumento e uno dei fronti su cui si sta concentrando l’attenzione dei cybercriminali sono le piattaforme di server aziendali on-premise e basati su cloud, che risultano spesso compromessi, utilizzati in modo improprio o affittati all’interno di un sofisticato ciclo di vita della monetizzazione criminale.
Cosa tratteremo
Lo studio sui crimini informatici
Lo mette in luce l’ultimo report di Trend Micro Research, che esplora il mercato underground dei servizi per i criminali informatici e rivela che – proprio come accade ai servizi “alla luce del sole” e regolare – anche i cybercriminali hanno bisogno di un’infrastruttura di hosting stabile alla base di tutte le loro attività, utilizzata ovviamente a fini nocivi. Come ad esempio ospitare contenuti dannosi o i componenti necessari per controllarne le operazioni.
Server esposti ai rischi
Tra i sistemi più esposti ci sono i server aziendali, che rischiano di restare inattivi mentre i criminali li usano per attuare schemi di guadagno più ampi, includendo ad esempio l’esfiltrazione di dati sensibili, la vendita dell’accesso al server per ulteriori abusi o la preparazione per un attacco ransomware mirato.
Come proteggere server e siti
Di fondo, quindi, lo studio conferma quanto sia importante e cruciale poter fare affidamento su una infrastruttura sicura e protetta, rivolgendosi magari a professionisti del settore che possono mettere in atto strategie di difesa e di tutela ulteriori. Una delle aziende italiane che offre queste garanzie è flamenetworks.com, i cui servizi di cloud server sono ad esempio dotati di sistemi firewall anti DDoS per proteggere i siti web da attacchi DDoS L3, L4 e L7 e di sistemi Anti Malware e scansioni automatiche per salvaguardare dalle iniezioni di codice malevolo.
L’azione dei cybercriminali
Secondo Gastone Nencini, Country Manager di Trend Micro Italia, la prima “regola da tenere presente è che qualsiasi asset esposto può essere compromesso” e oggi “il mercato cybercriminale underground offre una gamma sofisticata di infrastrutture in grado di supportare qualsiasi genere di campagna, dai servizi che garantiscono l’anonimato alla fornitura di nomi dominio, passando per la compromissione di asset”.
I criminali informatici potrebbero sfruttare vulnerabilità presenti anche nei software server, servendosene per compromettere credenziali, sottrarre log-in e inoculare malware attraverso attacchi di phishing. Ma possono anche prendere di mira i software di infrastructure management, così da poter avere la possibilità di creare nuove istanze di macchine virtuali o altre risorse. Quando sono colpiti e compromessi, “questi asset di server cloud possono essere venduti nei forum underground, nei marketplace e addirittura nei social network, per essere poi utilizzati per diversi tipi di attacchi”, spiega il report.
Attenzione anche ai cryptominer
Una delle spie che può far sospettare la presenza di problemi nei sistemi aziendali è la presenza di cryptominer, una particolare categoria di malware che agisce nell’ombra e che spesso è sottovalutata, perché apparentemente provoca pochi danni: anziché sottrarre informazioni riservate, il compito di questi virus è infatti sfruttare le risorse di calcolo dei server compromessi per minare criptovalute.
In realtà, però, gli esperti spiegano che questa può essere solo la prima breccia di cui possono servirsi i criminali per provocare danni peggiori; il consiglio è quindi di bonificare immediatamente qualsiasi server compromesso con un cryptominer, conducendo un’indagine immediata per verificare ulteriori falle di sicurezza all’interno dell’infrastruttura aziendale e prevenire guai più grandi.