Secondo una ricerca Mandiant, il 2021 è stato un anno da record per la scoperta di vulnerabilità zero day e, di conseguenza, per il giro d’affari correlato. I ricercatori avrebbero calcolato almeno 80 exploit attivi in rete, ossia il doppio rispetto ai volumi pre-pandemia. Questa scoperta ha però conseguenze importanti proprio in virtù del mercato correlato, poiché immette in circolo materiale prezioso che può far gola a molte agenzie del malaffare.
Acquistare una vulnerabilità zero day significa avere in mano un jolly da poter giocare nel modo più opportuno. Il mercato di questo tipo di vulnerabilità è appannaggio soprattutto del cyberspionaggio, poiché consente di colpire un punto debole in molti casi senza lasciar traccia e appropriandosi di informazioni potenzialmente molto importanti. Ecco perché questo tipo di vulnerabilità continua ad essere fortemente richiesto da quanti portano avanti attacchi state-sponsored, pagando fior di milioni di euro pur di avere anteprima ed esclusiva su questo tipo di vulnerabilità.
Il mercato delle Zero Day
Sebbene questo tipo di mercato resti dominante sulle zero day, in forte aumento è la richiesta correlata al lancio di nuovi ransomware: l’alta capacità di monetizzazione di questo tipo di malware, infatti, determina la possibilità di investire di più sull’acquisto di falle zero day o similari, costruendo quindi l’efficacia degli attacchi sulla velocità con cui vengono immessi in circolo. L’alto numero di zero day scoperte ha aperto un fronte di offerta generoso per tutto il 2021, ma sarà interessante capire chi saprà meglio conquistarsi le prossime zero day (ed a quale prezzo) nel caso in cui il ritmo delle scoperte dovesse diminuire. Per i cracker, del resto, è semplicemente una questione di denaro: chi meglio paga avrà i loro servizi, altrimenti si passa al sequestro dei file per tentare una via più pragmatica nel nome del ransomware.
Russia e Cina continuano a farla da padrona in questo mercato, accaparrandosi gran parte delle zero day disponibili attraverso organizzazioni che trovano il supporto degli stati di appartenenza in virtù del supporto che possono eventualmente fornire in termini di spionaggio o cyberwar. Nelle ultime ore l’allarme è stato alzato a livello internazionale proprio in virtù di questa pressione, con i timori che le sanzioni contro la Russia possano portare ad attacchi contro le infrastrutture critiche dell’Occidente.
Il numero delle falle zero day trovate sui singoli vendor è pressoché proporzionale alla penetrazione di mercato dell’azienda stessa: Microsoft, Apple e Google si dividono la fetta più ampia, seguite da Accellion, SonicWall, Apache, Qualcomm e TrendMicro.