Che il ransomware rappresenti un’attività redditizia per gli attori del cyber crimine è fatto assodato. Uno studio Google del 2017 ha rivelato che negli ultimi due anni le vittime di ransomware hanno pagato più di 25 milioni di dollari in riscatti: una quantità di denaro così alta da attirare molti altri potenziali criminali.
Si sa, i criminali informatici sono sempre alla ricerca di nuovi modi per ottenere il massimo dai malware che sviluppano. Non solo gli esperti ma anche coloro senza le necessarie competenze. Ciò ha portato a un aumento del ransomware-as-a-service (RaaS), una pratica in cui i criminali informatici vendono il proprio ransomware ad altri criminali non in grado di sviluppare le proprie varianti.
Il costo associato al RaaS è vario. Nel 2016, i criminali hanno rilasciato la variante del ransomware “Stampado” sul dark web per soli 39 dollari, uno dei primi casi di RaaS popolari ed economici. Questo prezzo non solo permetteva agli hacker di acquistare ransomware a un costo estremamente vantaggioso, ma forniva anche una licenza a vita, consentendo sostanzialmente a chiunque con soli 39 dollari di diventare immediatamente un hacker a vita.
Altri ransomware non richiedono alcuna commissione anticipata ma una percentuale del riscatto che il malware riceve quando viene messo in azione. Un cliente deve solo fornire i propri mezzi di distribuzione per assicurarsi che il creatore dietro il ransomware ottenga la propria fetta. Questo approccio ha spesso effetti lucrativi: si stima che a partire dalla fine del 2016, la celebre operazione di RaaS Cerber abbia portato a un guadagno di $ 200.000 al mese.
Data la diffusione di questa pratica, i criminali oggi stanno adottando un approccio più aggressivo nella promozione delle loro “offerte”. Mentre in precedenza si poteva trovare un RaaS solo sul dark web, gli aggressori ora sono più sfacciati e promuovono i propri prodotti allo scoperto. Gli stessi criminali dietro a Stampado, ad esempio, hanno recentemente utilizzato le principali strategie di marketing, tra cui pubblicità video prodotte professionalmente e un sito web, per promuovere la loro ultima offerta RaaS. Questo marketing aggressivo evidenzia ulteriormente quanto sia diffuso questo approccio al ransomware.
Ma chi compra RaaS? Il più delle volte, le parti interessate sono clienti del settore dello spam a cui manca l’esperienza tecnica per sviluppare un proprio malware. Sebbene le email di spam possano essere abbastanza redditizie, non presentano lo stesso livello di sofisticazione o possibilità di guadagno in confronto a un malware avanzato. Un RaaS mette questi criminali in contatto con le persone in grado di sviluppare malware evasivi e distruttivi, aumentando significativamente il potenziale impatto – e il pagamento.
L’aumento di RaaS ha provocato una maggiore repressione dei responsabili da parte delle forze dell’ordine. Nel dicembre 2017, in Romania, sono state arrestate cinque persone accusate di aver infettato con le varianti del ransomware Cerber e CTB-Locker principalmente vittime statunitensi. I cinque hacker noleggiarono il ransomware e ottennero il 70% dei profitti. Il restante 30% è rimasto con il portale RaaS come pagamento per il noleggio.
Nonostante i potenziali rischi, lo schema RaaS rimane molto attraente per le bande criminali e per i lupi solitari con competenze limitate. Più attacchi ransomware di alto profilo si verificano, maggiore è la probabilità di vedere potenziali aggressori con competenze limitate che vogliono approfittare delle offerte, mentre gli autori di malware continuano a condividere i loro prodotti per massimizzare il loro guadagno.. Sulla scia degli attacchi WannaCry e NotPetya, nel 2018 non possiamo che aspettarci che la tendenza di RaaS aumenti ancora di più.
di Damiano Colla, regional security systems engineer specialist, Juniper Networks
