Oltre gli attacchi ransomware: perché il cybercrime potrebbero puntare sulla compromissione della mail aziendali

Partendo dal presupposto che la compromissione di e-mail aziendali è già il tipo di scam più redditizio al mondo, il fatto che i governi in tutto il mondo abbiano deciso di agire per reprimere gli attacchi ransomware potrebbe stimolare i criminali informatici a puntare ancora di più su questo tipo di truffa. La situazione con la gestione degli attacchi ransomware nel mondo è ormai nota: la natura stessa dell’offensiva permette di fare moltissimi danni in un contesto in cui è difficile contrastare l’irruzione informatica. Ad essere colpiti da ransomware nel mondo sono state aziende e enti pubblici di ogni tipo, da quelle governative agli ospedali fino alle infrastrutture.

Se il punto di vista dei governi è quello di bloccare i ransomware, il ragionamento che fanno i ricercatori di cybersecurity nel mondo punta giustamente oltre: non si può solo bloccare i cybercriminali, bisogna ragionare e agire in modo da essere un passo avanti a loro soprattutto dal momento in cui, vedendo neutralizzate le potenzialità dell’attacco ransomware, potrebbero puntare su altro.

LEGGI ANCHE >>> Siamo al primo posto per l’aumento di attacchi ransomware tra i paesi dell’Europa occidentale

Compromettere la posta aziendale come alternativa agli attacchi ransowmare

A presentare il risultato della sua ricerca presso la conferenza sulla sicurezza RSA di San Francisco è stato Crane Hassold, ricercatore esperto di scam. Il punto è che, per come stanno andando le cose nel mondo, è logico pensare che i cybercriminali presto allenteranno la presa con gli attacchi ransomware a favore di attacchi BEC – ovvero Business Email Compromission – perché i primi diventeranno non solo meno redditizi ma anche più rischiosi da condurre.

L’FBI ha chiarito più volte che i soldi estorti tramite attacchi BEC supera di gran lunga quelli estorti tramite attacchi ransomwere – seppure, oggettivamente, questi ultimi causino molto più disagi e perdite di dati. Come funziona un attacco BEC? Gli account aziendali di posta elettronica vengono compromessi e l’accesso viene utilizzato per inviare mail fasulle o avviare pagamenti di contratti che inducano l’azienda a inviare denaro ai criminali pensando di pagare delle bollette.

Hassold ha spiegato che «l’attenzione rivolta al ransomware è tanta e i governi di tutto il mondo stanno intervenendo per bloccarlo, quindi alla fine il ritorno sull’investimento ne risentirà». A quel punto i cybercriminali che utilizzano i ransomware «non diranno: ‘Oh, ehi, mi avete fregato’ e se ne andranno. È quindi possibile che si verifichi una nuova minaccia, in cui gli attori più sofisticati dietro le campagne di ransomware si spostano nello spazio BEC, dove si fanno tutti i soldi».

Come funzionano gli attacchi BEC

Cosa sono gli attacchi BEC e come possiamo connotarli? Partiamo dal presupposto che la maggior parte ha origine in Africa occidentale – in particolar modo in Nigeria -, risultano essere meno tecnici e maggiormente basati sull’ingegneria sociale. La capacità di stabilire un accesso iniziale creando un punto di appoggio digitale per la violazione ransmoware a partire dal quale si diffonde il malware torna estremamente utile per gli attacchi BEC, nel cui caso l’accesso alle caselle di posta elettronica strategiche è il primo passo nella stragrande maggioranza delle campagne – come viene spiegato su Wired -.

Rispetto alle bande che conducono attacchi ransomware, inoltre, quelle che fanno BEC sono più decentralizzate e rendono ancor più complesso contrasto e intervento da parte delle forze dell’ordine: «Non si può semplicemente tagliare la testa del serpente – ha spiegato il ricercatore – Se si arrestano una dozzina o anche qualche centinaio di questi attori, non si riesce comunque a fare molta strada».