Il ransomware è diventato un vero business, non solo per gli elevati guadagni in gioco, ma per gli strutturati modelli di distribuzione e monetizzazione sottostanti. Agli hacker solitari, che lavorando giorno e notte dietro a un computer realizzavano da cima e fondo un attacco, si sta sostituendo sempre di più la logica del ransomware “as-a-service”, che ha ormai anche un suo acronimo, RaaS. Secondo le analisi della società di threat intelligence Kela, eseguite attraverso la tecnologia proprietaria Darkbeast, https://ke-la.com/our-solutions/, nello scenario attuale solo il 30% dei guadagni va agli sviluppatori del programma malevolo, mentre il restante 70% finisce nelle mani di “affiliati”.
Mentre in passato l’ecosistema underground del crimine informatico era fatto di persone che realizzavano da sole gli attacchi, oggi la logica del “one-man show” è quasi completamente scomparsa. Al contrario, scrive l’analista di threat intelligence di Kela, Victoria Kivilevich, “una delle tendenze più prominenti emerse è la specializzazione dei cybercriminali in differenti nicchie”. Nello schema d’attacco tipico, infatti, diversi attori si fanno carico di attività diverse, e in particolare delle quattro fasi di programmazione (creazione o acquisto del codice di un malware con le caratteristiche desiderate), diffusione (infezione delle vittime), estrazione (mantenendo il controllo sulle macchine infette) e monetizzazione (tramite riscossione dei riscatti, rivendita di dati, utilizzo di credenziali rubate). A proposito di monetizzazione, il recente caso dell’attacco al software di Kaseya ha segnato un nuovo record di richiesta di riscatto: 70 milioni di dollari.
I ricercatori di Kela hanno osservato negli ultimi tempi l’emergere di “servizi accessori” venduti dai cybercriminali in accompagnamento alle quattro tipologie di attività descritte. In particolare, per gli attacchi di supply chain (in cui si cerca un punto debole o un punto di ingresso nella catena di approvvigionamento di un software o dispositivo hardware) molti attori criminali si inseriscono nella nicchia della estrazione, per esempio focalizzandosi sulla escalation dei privilegi all’interno di una rete compromessa.
L’altra area molto frequentata è quella della monetizzazione, dove si sono inseriti dei veri e propri servizi di negoziazione. Le vittime di ransomware vengono messe sotto pressione con vari metodi, dalle telefonate spam alle minacce di attacchi DDoS e di diffusione dei dati rubati. Frequente è anche la vendita di credenziali rubate, sia di quelle che danno diritto a un accesso come utente e sia, nel 19% dei casi, di quelle da admin: per la prima categoria i prezzi si aggirano mediamente intorno ai 400 dollari, per la seconda superano i 4.200 dollari. “L’ecosistema ransomware”, scrive Kivilevich, “sempre più assomiglia a una grande azienda che ha al suo interno ruoli diversificati e numerose attività in outsourcing”.