Le competizioni a scopo di ricerca organizzate dai forum cybercriminali stanno mettendo a punto nuovi metodi di attacco e di elusione dei rilevamenti delle difese informatiche. Lo evidenzia Sophos nell’ultimo report dal titolo “For the Win? Offensive Research Contests on Criminal Forums”.
Queste competizioni, ispirate alle “Call for Papers” delle conferenze promosse dagli esperti di sicurezza, assegnano premi in denaro, riconoscimenti e, addirittura, potenziali incarichi lavorativi. Queste gare clandestine sono ideate per identificare tecniche di attacco innovative.
Sebbene le gare a scopo di ricerca siano una presenza consolidata nei forum criminali, hanno subito notevoli evoluzioni nel corso degli anni. Le prime edizioni riguardavano quiz, concorsi di design grafico e indovinelli. Oggi invece i partecipanti vengono invitati a presentare articoli su argomenti tecnici completi di codice sorgente, video e/o schermate. Una volta pubblicati, gli articoli vengono valutati e votati dagli utenti dei forum per determinare il vincitore. Tuttavia, il processo di valutazione non è completamente trasparente poiché sia i gestori dei forum che gli sponsor delle competizioni hanno il potere di voti aggiuntivi.
Christopher Budd, director of threat research di Sophos, ha dichiarato: “Il fatto che i cybercriminali organizzino queste competizioni, vi partecipino e persino le sponsorizzino suggerisce che i progressi di tattiche e tecniche rappresentino un obiettivo comunitario. Vi sono persino prove che indicano come queste gare funzionino anche da strumento di recruiting per i principali gruppi organizzati”. “Per quanto le nostre indagini mostrino una crescente attenzione nei confronti delle tematiche Web-3 come criptovalute, smart contract e NFT, molti dei lavori premiati hanno un campo di applicazione più ampio e possono essere utilizzati nella pratica anche se non sono particolarmente originali. Ciò può essere una conseguenza delle priorità della community ma anche un’indicazione di come i cybercriminali conservino le ricerche più efficaci per sé dal momento che possono guadagnarci di più mettendole a frutto nel contesto di attacchi effettivi”.
Il report di Sophos X-Ops ha esaminato due importanti competizioni annuali: la prima organizzata dal forum russo Exploit, con un premio di 80.000 dollari per il vincitore dell’edizione 2021, e la seconda promossa dal forum XSS con un montepremi di 40.000 dollari nel 2022. Noti esponenti della community cybercriminale, come All World Cards e Lockbit, sono sponsor di queste iniziative da diversi anni.
Nelle edizioni più recenti, Exploit ha focalizzato la competizione alle criptovalute, mentre XSS ha ampliato la gamma di argomenti, includendo il social engineering, i vettori di attacco, le tecniche di evasione e le truffe. Molti dei lavori premiati hanno riguardato l’abuso di tool legittimi come Cobalt Strike. Tra le proposte presentate vi sono un tutorial dedicato alle ICO (Initial Coin Offering) per la raccolta di fondi destinati a nuove criptovalute e un articolo sulla manipolazione dei privilege token per disabilitare Windows Defender.
