venerdì 14 ottobre 2016

Exploit as a Service: perchè exploit kit e ransomware sono ormai coppia fissa

Era il 2013 quando si presentò nel mercato del cyber-crimine una combinazione di strumenti destinata a far sudare freddo varie aziende e enti: l’unione cioè dell’exploit kit BlackHole e del ransomware CryptoLocker.

Poco tempo dopo altri exploit kit fecero il loro debutto sulla scena: i temibili e assai diffusi Angler e Neutrino, i meno conosciuti ma altrettanto pericolosi Magnitude e Sundown.
Ad oggi si può affermare con certezza che circa il 20% dei ransomware viene diffuso via exploit, ma storicamente, gli exploit kit hanno diffuso una vasta gamma di malware differenti e con finalità diverse.

 

La top ten degli exploit

Il “QuaterlyThreat Report” di Quick Heal evidenzia che i formati OLE e RTF hanno contributo per l’80,5% alle individuazioni della Top 10 degli Exploit e che le vulnerabilità di Java hanno avuto un peso del 15%.



Java, Adobe Reader, Flash Player, Silverlight i  software più colpiti.


Ma perché sono sempre più utilizzati?

Il vantaggio principale dell’exploit kit è che richiede pochissima, se non nessuna, interazione da parte dell’utente, al contrario ad esempio dei malware diffusi via email di spam/phishing, che richiedono che sia l’utente a fare clic su un link o ad aprire un allegato. L’exploit kit al contrario entra nel sistema sfruttando le vulnerabilità dei programmi più diffusi praticamente senza "fare rumore".
Inoltre, per quanto si possa provare a tenere sempre aggiornati i software, un sistema avrà sempre una o più falle, soprattutto se teniamo di conto le vulnerabilità zero-day per le quali non si dispone ancora di una patch ed è chiaro quanto rintracciare questo tipo di vulnerabilità aiuti i cyber-criminali nel proprio compito, perché, semplicemente, non c’è modo in questo caso di respingere un eventuale accesso illecito al sistema. 

Queste sono alcune delle motivazioni per cui anche gli exploit kit, come i ransomware, stanno diventando un mercato vero e proprio, quello che potremmo definire “l’Exploit kit as a service”, prendendo spunto dall’acronimo RaaS (ransomware as a service- per approfondire, ne abbiamo già parlato qua)

Un mercato in cui gli exploit kit sono messi in vendita nel deep web e per i quali si organizza un vero e proprio piano di marketing e di supporto/assistenza al cliente, come fossero un qualsiasi servizio venduto online: con una percentuale di profitto, ovviamente, da spartire tra acquirente e sviluppatore. 

Nessun commento:

Posta un commento