logo

CybergON Blog

Advancing the State of Cybersecurity.

Il business dietro al business: Cybercrime as a Service

Nefilim, Egregor, WastedLocker, Maze. Sono questi i nomi dei Ransomware che stanno colpendo le aziende del mercato italiano. Luxottica è stato uno degli ultimi nomi a riempire le pagine di giornale, nome che sta suscitando scalpore perché sembra che i dati della compagnia siano stati rubati e pubblicati nel Dark Web, contrariamente a quanto dichiarato inizialmente dall’azienda.

E’ piuttosto ovvio che l’attacco all’azienda presuppone un investimento in termini di tempo e preparazione maggiore di quello al privato. Lo sforzo che fanno questi gruppi è però direttamente proporzionale al guadagno: i riscatti che molte aziende pagano sono cifre da capogiro. Come funziona esattamente il business dei gruppi criminali l’avevamo raccontato con il supporto di un Business Model Canvas in versione Dark, modello che ci fa comprendere come il cyber crime si organizzi proprio come un’industria. E a proposito di business, come questi gruppi nascono, così si evolvono: è il caso di Maze, che qualche giorno fa ha dichiarato la chiusura del progetto, probabilmente per aderire a qualcosa di più grande.

cybercrime-as-a-service

Tra le fonti di guadagno: i riscatti

Osservando il modello di business, si nota che una delle fonti di introito dei gruppi criminali, specialmente quelli organizzati e strutturati che prendono di mira le grandi aziende o gli enti governativi – i cosiddetti gruppi ATP - sia proprio il pagamento dei riscatti a seguito del blocco dei sistemi e delle esflitrazioni di dati. Lo stesso pagamento che ha effettuato Garmin solo qualche mese fa di 10 milioni di dollari dopo aver preso WastedLocker.

E’ bene fare una considerazione: l’attacco ransomware rappresenta l’1% del market share degli attacchi a livello mondiale e nonostante ciò un attacco di questo tipo ha successo ogni 11 secondi nel mondo. Tuttavia è difficile, se non impossibile, fare una stima dei guadagni derivanti dai pagamenti dei riscatti. Esiste una cifra media, relativa al 2019, di circa 85.000$ a riscatto; non sappiamo però quante aziende effettivamente dichiarino di aver pagato il riscatto e quali somme. Il 2020, che ha visto un incremento generale degli attacchi, potrebbe aver cambiato le carte in tavola, e la cryptovaluta utilizzata per questo genere di operazioni, inoltre, spesso è difficilmente tracciabile, seppur non impossibile.

Sappiamo in ogni caso che l’industria del cyber crime muove cifre astronomiche, si stima che superi i 1500 miliardi di dollari e solo una parte di questi deriva dagli attacchi ransomware. La domanda che ci si pone a questo punto riguarda le altre fonti di guadagno.

Cybercrime as a Service: il modello che apre le porte del crimine al grande pubblico

Se sai fare bene qualcosa, mai farla gratis, diceva il Joker di Cristopher Nolan. Ed è forse seguendo questo mantra che il mercato del cyber crime ha aperto le porte anche ai profani dell’informatica. Da qualche anno a questa parte si è costituito e si va consolidando un modello che si può definire del Cybercrime as a Service, ovvero la commercializzazione di strumenti e prodotti atti a commettere crimini informatici: dai malware, ai database di informazioni rubate, alle botnet. Una distribuzione non tanto diversa da quella di qualsiasi altra tipologia di business. Questo modello prende una declinazione diversa a seconda del soggetto della compravendita e degli attori coinvolti.

Database e nuove identità

Nel Dark Web se si sa dove cercare, si può trovare qualunque cosa. Seguendo questo principio, possiamo rispondere alla domanda: dove finiscono i nostri dati quando vengono rubati?

Tra il furto di dati e credenziali e l’utilizzo degli stessi per scopi illeciti, però, avvengono molto spesso dei “passaggi di proprietà”: queste informazioni vengono vendute al grande pubblico, per un totale stimato di $500 miliardi. Non è possibile conoscere con esattezza quanti siti e contenuti ci siano nel Dark Web, ma si stima ve ne siano per 18 milioni di GB e 550 miliardi di documenti, vale a dire che l’offerta soddisfa pienamente la domanda.

Il listino prezzi è vario: un passaporto in Europa costa circa 700 dollari, una patente $300, un account PayPal parte da $125 e varia in base alla disponibilità del conto, per i meno pretenziosi una carta di credito “solo” $45.

Una ricerca di SafetyDetectives ha evidenziato come “rifarsi una vita” in Europa abbia un costo minimo di 1240 dollari, il quale include una nuova identità completa, titoli di studio e un profilo finanziario di tutto rispetto, ed è tutto facilmente acquistabile sul Dark Web.

Se invece l’obiettivo dell’acquirente è meno ambizioso, si possono trovare account di posta elettronica e di social network: Gmail vale circa $155, un profilo Facebook $75, Instragram $55 e Twitter $49. Inutile dire che questi account sono rubati, ad esempio tramite campagne di Phishing, ed è pertanto illegale acquistarli.

identity-passport

Malware as a Service

Non serve essere un professionista del coding per organizzare un attacco informatico. Oggi chiunque può “acquistare”, personalizzare e diffondere malware. Nella sua variante più famosa, quella del ransomware, questa pratica prende il nome di Ransomware as a service o RaaS.

L’acquirente può acquistare ciò che desidera proprio come fosse su Amazon. Una delle più popolari piattaforme di Ransomware as a Service è oggi RaaSberry, molto semplice da utilizzare: offre una selezione di pacchetti ransomware a partire da 60 e fino a 650 dollari.

raas-platform

Le quote di profitto derivato dall’attacco andato a buon fine sono solitamente del 70-60% per chi compra e del 30-40% per chi vende, che oltre al “prodotto” offre il proprio tempo e la propria competenza.

Quando parliamo di MaaS o RaaS, malware e ransomware vengono programmati ad hoc per questo scopo: GandCrab e Cerber sono due esempi di ransomware che sono stati sviluppati in base a questo modello attraverso vari servizi online come Satana oppure Hall of Ransomware: il sito raggiunto grazie al portale Tor, consente a chiunque di creare e configurare qualsiasi tipologia di ransomware e scegliere tra una vasta gamma di tecniche di infezione, selezionare la richiesta di riscatto, il contatto e tracciare la somma ricevuta. GrandCrab in particolare, ha fruttato oltre 2 miliardi di dollari in riscatti nel 2019.

Un vero e proprio “kit ransomware” per facilitare l’esecuzione di attacchi per i criminali principianti e poter iniziare a estorcere denaro grazie alla possibilità di bloccare e sequestrare dati di una macchina con un solo click.

Botnet a noleggio

Un altro prodotto che puoi acquistare dallo scaffale immenso del mercato nero, è l’attacco DDoS. Un attacco DDoS (Distributed Denial of Service) per andare a buon fine necessita di reti botnet, ovvero migliaia di dispositivi compromessi, in grado di generare traffico dati verso uno specifico target con l’obiettivo di saturarne in poco tempo le risorse e di renderlo indisponibile.

Alcuni criminali hanno a disposizione queste reti botnet che sono in grado di indirizzare una certa quantità di traffico. Sulla base di questa caratteristica, della qualità della botnet (una botnet di dispositivi IoT vale meno di una di server, ad esempio) e del tempo richiesto per l’attacco vengono impostati i prezzi: un attacco di tre ore può costare $60, per 5 minuti solo $5.

botnet-noleggio

In alternativa puoi acquistare un accesso via RDP e usarlo per diffondere malware o per altre attività illecite: i costi partono da $8 e puoi selezionare il paese e la città di tuo interesse e il sistema operativo, avere una lista di possibilità e vedere i dettagli di ogni server disponibile.

accesso-rdp

Questa cooperazione tra criminali – che siano esperti del prodotto o acquirenti ignari – è uno sviluppo preoccupante. La condivisione di consigli, tattiche e di piattaforme centralizzate consente loro di eseguire attacchi più avanzati e con riscatti potenzialmente più onerosi. Un’industria moderna in continua evoluzione che non sembra avere intenzione di fermarsi.