C’è un momento che in molte indagini reali ritorna sempre uguale, e che raramente finisce nei report pubblici. Quando l’attaccante è già dentro, ha un foothold pulito e silenzioso, vede file, processi, utenti, ma gli manca la chiave vera: privilegi amministrativi affidabili, stabili, spendibili.
Quelli che ti permettono di disattivare controlli senza far rumore, spostarti di macchina in macchina, distribuire payload, prelevare dati in quantità. In quella fase, l’unità di valore che gira di più non è un exploit miracoloso, ma una cosa molto più terra terra: l’hash di una credenziale privilegiata.
Dal foothold al “blocco”: quando l’hash non basta
La scena tipica è questa. L’accesso iniziale è arrivato in un modo qualsiasi, spesso poco glamour: phishing, credenziali riutilizzate, una VPN mal configurata, un’applicazione esposta, un account poco privilegiato dimenticato. Poi parte la raccolta di tutto ciò che può essere riutilizzato per autenticarsi in laterale. Non sempre parliamo di password in chiaro, anzi: spesso sono hash, ticket, derivati che permettono di farsi passare per qualcun altro senza bussare troppo. A un certo punto spunta un hash di alto valore, magari di un admin locale, di dominio o di un account di servizio strategico. È qui che tanti attaccanti si inceppano. Con l’hash puoi fare cose, ma non tutto. Ci sono contesti in cui serve proprio la password, o un suo equivalente, per superare policy e controlli, cambiare configurazioni e rimanere dentro nel tempo. Ed è in quel momento che si apre il “mercato”.
Perché l’offline cracking piace così tanto a chi attacca
Un hash è l’impronta crittografica di una password. Se puoi lavorarci offline, fuori dal perimetro della vittima, diventa un gioco a parte. Niente lockout, niente rate limiting, niente MFA in mezzo, niente geofencing. Hai il tuo hardware o servizi a noleggio, tenti combinazioni a ritmo industriale, in parallelo, e nessuno dall’altra parte vede il rumore in tempo reale. La differenza con i tentativi online è enorme: online sei lento e ingessato dalle policy; offline sei rapido, scalabile, difficile da attribuire mentre accade. La velocità reale dipende dall’algoritmo di hashing, dai parametri, dai salt, dalle iterazioni. Gli hash “lenti” ben configurati sono una barriera concreta. Gli hash “veloci” o derivati deboli trasformano la password in un bersaglio economico.
Dentro i thread a pagamento: un marketplace con regole
Nei forum russofoni esistono thread dedicati a richieste di cracking a pagamento che, visti da vicino, sembrano più un piccolo marketplace con le sue regole che una bacheca disordinata. Funzionano perché riducono l’attrito tra domanda e offerta, aumentano la velocità e limitano le dispute.
Chi apre una richiesta deve fornire il minimo indispensabile per rendere il lavoro fattibile: l’hash o un set di hash, l’algoritmo o almeno il contesto da cui provengono, una finestra temporale chiara che di fatto crea una SLA implicita, il prezzo e il metodo di pagamento, spesso in bitcoin se non diversamente specificato. Più dettagli si danno, più si accorciano i tempi, per esempio indicando se l’hash compare già in database noti o offrendo indizi che guidano la scelta dei dizionari.
C’è poi una regola che innesca la gara: incassa il primo che consegna. Così si riducono i tempi medi di risposta, si attirano più operatori sulla stessa commessa e il rischio del fallimento si spalma su tanti. Se uno non ce la fa, qualcun altro probabilmente sì. Per il difensore questo dettaglio pesa: la resilienza dell’offensiva cresce per semplice effetto rete.
A fare da collante ci sono meccanismi minimi di arbitrato: se qualcuno consegna entro i tempi, chi ha richiesto deve pagare; se qualcuno dichiara di aver crackato, deve dimostrare e consegnare; ci sono escrow o prove intermedie per limitare le truffe, e il ban come deterrente. Non elimina i raggiri, ma alza il costo del malaffare e tiene in piedi un’economia sommersa che gira su regole semplici.
Il divieto che dice molto: niente hash di wallet
Un dettaglio interessante è il divieto esplicito su hash legati a wallet come Electrum, Ethereum o MetaMask. Qui non si parla di “solo hash di password”. Pubblicare certi materiali è praticamente come regalare l’accesso a un portafoglio. Il forum li vieta perché scatenano furti immediati, dispute ingestibili e attenzioni indesiderate. È un indizio chiaro della maturità operativa di questi spazi.
La lezione scomoda: “complessa” non vuol dire “sicura”
Chi fa cracking non vince perché prova tutto l’alfabeto a casaccio. Vince perché conosce le persone e le abitudini. Non parte da brute force cieco, ma da dizionari selezionati, combinazioni, regole, trasformazioni linguistiche, formati aziendali ricorrenti. Potano lo spazio di ricerca, eliminano ciò che è improbabile, colpiscono ciò che è verosimile. Con il tempo imparano dove vale la pena insistere e quanto fatturare. In pratica non stanno cercando una password qualsiasi, ma la più probabile dato il contesto di quell’organizzazione.
Dove si spezza davvero la catena
Se guardiamo la kill chain, il cracking-as-a-service diventa un problema relativo se togli l’ossigeno all’ecosistema, cioè l’input: l’hash spendibile. Questo non significa fare una crociata contro gli hash, che esistono per definizione, ma ridurre drasticamente le possibilità che vengano estratti o che, una volta ottenuti, siano davvero utili.
La prima mossa è impedire agli account privilegiati di fare logon interattivo su endpoint a rischio. Gli amministratori non dovrebbero navigare, leggere email o fare attività quotidiane su macchine “normali”. La separazione delle identità è fondamentale: un account per l’uso quotidiano e uno per le attività privilegiate, su workstation dedicate e hardenizzate. Questo unico accorgimento abbassa di molto la probabilità che un hash prezioso finisca nella pancia di un infostealer.
Poi serve limitare gli strumenti e i permessi che consentono accesso a processi sensibili e credenziali in memoria, aumentare la visibilità su accessi anomali a componenti di autenticazione, monitorare tentativi di dumping e pattern sospetti. Aggiornamenti e hardening dove storicamente si concentrano i furti di credenziali sono banali solo sulla carta, ma fanno la differenza.
Ha senso anche tagliare il valore della password in sé. Per gli accessi privilegiati, quando applicabile, MFA resistente al phishing. Per le password, politiche orientate a passphrase lunghe e non prevedibili, evitando i soliti pattern aziendali come mese-anno, nomeazienda più un simbolo, stagioni o nomi di prodotto. Un password manager riduce il riuso e le varianti incrementali che finiscono puntualmente nei dizionari degli attaccanti.
Infine bisogna lavorare sulla resilienza anche nell’ipotesi in cui una password venga recuperata: privilegi minimi, segmentazione, tiering amministrativo, rotazione e gestione sicura delle credenziali di servizio e di quelle locali, evitando password statiche replicate. E soprattutto capacità di vedere in fretta anomalie di autenticazione e movimento laterale, per reagire prima che il danno diventi strutturale.
Perché tutto questo è attuale
Perché fotografa una verità operativa che spesso sottovalutiamo: l’attaccante moderno non deve eccellere in tutto. Può essere mediocre nella fase iniziale, mediocre nella persistenza, mediocre nel cracking. Gli basta saper comprare, al momento giusto, la competenza che gli manca, con regole del gioco già pronte e tempi certi. Se il pezzo che compra è la password di un admin, il fattore tempo diventa l’unico vero nemico del difensore. Non stupisce che in quei thread la domanda chiave sia “quanto è attuale questa credenziale”. È la metrica che separa un hash qualsiasi da una commessa che paga.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
