I virus informatici sono sviluppati da vere e proprie imprese dedite a questo genere di business. E così come le imprese si evolvono per affrontare al meglio il mercato, anche quelle 'guidate' dai cybercriminali lo fanno. Un esempio su tutte, la campagna ransomware di Cerber, uno dei più noti malware dalle origini sicuramente russe che cripta i file e li tiene in ostaggio fino al pagamento del riscatto.
Secondo l'ultimo report sul fenomeno rilasciato da 'Check Point Software Technologies e IntSight', chi utilizza Cerber lo fa con una sorta di franchise, affiliandosi cioè a un programma che offre ai partecipanti gli strumenti per lanciare gli attacchi, anche senza avere conoscenze tecniche precise. Così facendo, una volta ottenuto il riscatto che si paga in Bitcoin, i proventi vengono divisi tra complici, con il 40% che va direttamente nelle tasche del creatore del malware.
Dal report emergono due dati, uno preoccupante e uno più confortante. Il primo riguarda le dimensioni del fenomeno: Cerber ha infettato a luglio oltre 150mila utenti in più di duecento Paesi al mondo, attraverso le oltre 160 campagne attive, con un guadagno stimato annuo di 2,3 milioni di dollari. Numeri elevati che per fortuna non trovano riscontro in quanti, poi, pagano il riscatto per decriptare i propri file. Secondo Check Point, infatti, appena lo 0,3% degli utenti attaccati decide di versare il Bitcoin richiesto, che vale all'incirca 590 dollari al cambio attuale.
Inoltre gli affiliati di Cerber di fatto riciclano denaro. Cerber, si legge nel report, utilizza la valuta Bitcoin per eludere il rintracciamento e crea un wallet specifico per ricevere il pagamento del riscatto da parte di ogni singola vittima.
Nel momento in cui il riscatto viene pagato, la vittima riceve la chiave di decrittazione. Il Bitcoin viene trasferito allo sviluppatore del malware attraverso un servizio misto, che coinvolge decine di migliaia di wallet Bitcoin, rendendo quasi impossibile il rintracciamento. Alla fine del processo, il denaro raggiunge lo sviluppatore, e gli affiliati ricevono la loro percentuale.
Cerber spiana inoltre la strada a molti aspiranti hackers. Il ransomware consente infatti anche a persone senza particolari conoscenze tecniche di prendere parte a un business estremamente redditizio, gestendo campagne indipendenti, utilizzando set di server Command & Control (C&C) predefiniti e un’interfaccia di controllo completa e facile da usare, disponibile in 12 lingue.
Da giugno 2016, Check Point e IntSight hanno ricreato la mappa completa del complesso sistema sviluppato da Cerber, così come la sua infrastruttura di distribuzione globale. I ricercatori sono stati in grado di rigenerare i wallet delle vittime, consentendo al team di monitorare i pagamenti e le transazioni, e di tenere traccia sia delle entrate ottenute dalle infezioni dei malware sia del flusso di denaro.
Le informazioni raccolte attraverso lo studio hanno dato la possibilità a Check Point di rilasciare un tool che inizialmente ha permesso di rimuovere il criptaggio dei dati senza dover pagare il riscatto. Ma una volta rilasciato il report, il creatore di Cerber ha immediatamente messo mano al malware aggiornandolo e annullando così gli effetti dello strumento di rimozione della chiave.
"Questa ricerca offre una visione molto rara della natura e degli obiettivi globali della florida industria del ransomware-as-a-service", afferma Maya Horowitz, group manager, Research & Development di Check Point. "Gli attacchi informatici non più solo appannaggio di certe nazioni o di chi ha specifiche competenze tecniche. Al giorno d’oggi sono a disposizione di chiunque poiché sono eseguibili abbastanza facilmente. Di conseguenza, questo settore sta crescendo molto, e dovremmo tutti prendere le dovute precauzioni e implementare protezioni rilevanti", conclude Horowitz.