Libero
SICUREZZA INFORMATICA

Come sono organizzati i criminali dietro il fenomeno ransomware

Una ricerca degli esperti di Kaspersky Lab ha fatto luce sui ransomware: la maggior parte viene dalla Russia e hanno struttura aziendale

Come sono organizzati i criminali dietro il fenomeno ransomware Fonte foto: Shutterstock

Nel mondo della sicurezza informatica, come abbiamo spesso sottolineato ultimamente, i ransomware rappresentano il problema più preoccupante. Anche perché in continua crescita. Stando alla ricerca Kaspersky Lab un utente ogni dieci secondi e un’azienda ogni quaranta vengono colpiti da questo malware.

Stando ai numeri elaborati dai ricercatori Kaspersky Lab sono quasi un milione e mezzo gli utenti colpiti in tutto il mondo da questo tipo di malware nel 2016.  Esistono più di 60 “famiglie” di ransomware che generano circa 54mila varietà dello stesso virus. I ransomware esistono e sono stati rintracciati per la prima voltanel 2000. Eppure mai come ora hanno rappresentato una minaccia. Come mai? Da Kaspersky dicono che il virus si è sviluppato talmente bene nel tempo da diventare pian piano sempre più forte, variegato e capace di generare sicuri guadagni. In più ora ha bassissimi costi di realizzazione.

I ransomware parlano quasi tutti russo

I ricercatori Kaspersky Lab hanno studiato nell’ultimo periodo questa minaccia informatica e hanno scoperto che delle 60 famiglie di ransomware presenti 47 hanno origine russa. Questo dà un’idea chiara del crescente, e sempre più temuto fenomeno, hacker in Russia, così come nei Paesi limitrofi. In più va detto che nei paesi russofoni c’è da sempre stata una forte attenzione da parte dei cyber criminali su questo tipo di malware. In Russia e nei Paesi vicini nel 2009 e nel 2011 erano già state registrate ondate anomale di attacchi con questo sistema. Se siete tra i pochi a non conoscere ancora cosa sia un ransomware, sappiate che si tratta, in breve, di un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere il blocco.

Il business dietro i ransomware

Sempre secondo lo studio Kaspersky esistono tre livelli usati dai cyber criminali per entrare nel business dei ransomware. Il primo è quello di creare un proprio malware di questo tipo e metterlo in vendita. Questo richiede ovviamente una grande abilità nella scrittura dei vari codici. Tra cui una profonda conoscenza della crittografia. Gli autori di questa categoria guadagnano dalle loro vendite e spesso sono difficili da rintracciare poiché non partecipano mai agli attacchi veri e propri. Un ransomware nuovo nel mercato del deep web può costare anche svariate migliaia di dollari. Un malware più economico si può avere se non si cerca direttamente il codice sorgente ma solo l’elenco delle funzioni per riprodurlo. In questo caso il prezzo è di alcune centinaia di dollari. Per un malware di questo tipo bastano poche decine di dollari.

Non guadagna solo chi genera il malware

Attraverso i programmi di affiliazione dei vari hacker però non guadagna solo chi genera il malware. Ma si può entrare in questi gruppi di cyber criminali semplicemente per sponsorizzare il ransomware e guadagnare in base ai profitti. In pratica si riceve il malware bello che pronto e si cerca di infettare più dispositivi possibili in questo modo. La paga sarà una percentuale in base ai soldi generati dai pagamenti dei vari riscatti. Si tratta di un sistema ramificato e ben studiato dove esistono partner semplici e partner d’élite. Nella seconda opzione, che si ottiene solo per raccomandazione o per abilità dimostrata, si avrà in allegato con il malware anche una serie di soluzioni per nascondersi al meglio dai vari ricercatori di sicurezza informatica. E in questo caso la percentuale di guadagno sarà il 3% del totale. Lo sviluppo dei ransomware nell’ultimo periodo parte proprio da questa organizzazione complessa che accetta sia i cyber criminali più esperti che quelli come meno abilità specifiche.

La gestione dei programmi d’affiliazione

Se pensate che i partner d’élite siano quelli che guadagnano di più dopo i creatori del malware vi sbagliate. Per gestire un’organizzazione così complessa, infatti, esistono anche i “proprietari” dei vari programmi d’affiliazione. Questi si occupano di gestire ogni partner d’élite che farà parte dell’organizzazione. Questi sono una sorta di manager industriali del cyber crimine. Stando a quanto riportano le esperienze dei ricercatori Kaspersky questa è l’unica figura che interagisce direttamente con il creatore del malware.

Costi e profitti del mercato ransomware

Premi sull'immagine per scoprire i dieci consigli per difendersi dal phishingFonte foto: Shutterstock

Premi sull’immagine per scoprire i dieci consigli per difendersi dal phishing

Un gruppo ben organizzato come quello descritto sopra può arrivare a generare diverse migliaia di dollari al giorno dai pagamenti dei riscatti. Però per gestire questa operazione non mancano i costi. Ci sono i vari investimenti per aggiornare, nascondere e potenziare il malware. Poi c’è tutta la spesa relativa alla sua distribuzione. Esistono diversi modi, il più costoso ma anche il più efficace e di sicuro ritorno sono i kit di exploit. Tra i più usati poi le campagne email phishing. Parlando di guadagni un partner d’élite può arrivare a 40-50 bitcoin al mese ma sono stati registrati dei casi di affiliati che arrivavano anche a 80 bitcoin al mese. Tradotto in soldoni sono circa 85mila dollari in poche settimane.

Gli attacchi mirati alle grandi organizzazioni

Una tendenza abbastanza recente che hanno notato i ricercatori Kaspersky è che ultimamente i grandi gruppi dietro questi attacchi ransomware stanno lasciando perdere i singoli utenti e le piccole e medie imprese per prendere di mira le grandi organizzazioni. Sono stati registrati dei casi di aziende con 200 postazioni di lavoro e un’altra con oltre mille. Le meccaniche di questi nuovi attacchi sono molto diverse da quelle che siamo stati abituati a vedere. Sono più complesse e richiedono più tempo ma permettono un guadagno quintuplicato rispetto alle altre tipologie di utenti. In più paralizzando il lavoro di una grande impresa spesso i proprietari sono più disposti a pagare il riscatto per non avere grosse perdite in termini di produzione. Più soldi arrivano alle organizzazioni criminali più sofisticati saranno i nuovi attacchi. Quindi il consiglio è sempre lo stesso: non pagate il riscatto.

Come difendersi dagli attacchi hacker

Cliccando sui link che seguono, invece, potrete scoprire  suggerimenti, alcuni più tecnici altri più alla portata di tutti, riguardanti la sicurezza informatica e scoprire le tipologie di attacchi più comuni: dagli attacchi DDoS al phishing, passando per le botnet.