Kaspersky presenta un’indagine sull’ecosistema dei ransomware

Quando si guarda al panorama delle minacce a cui andremo incontro nel corso del 2021, i ransomware sono senza ombra di dubbio una delle principali preoccupazioni delle aziende. Gli attaccanti continuano ad aumentare la portata e la frequenza di questi attacchi e le notizie relative ad organizzazioni prese di mira da ransomware sono quotidianamente sulle pagine dei principali media internazionali. Tenuto conto che l’ecosistema dei ransomware è molto più complesso di quello che appare, Kaspersky ha deciso di aiutare le aziende a capirne il funzionamento e offrire dei suggerimenti su come combatterlo. A questo proposito, i ricercatori di Kaspersky hanno pubblicato un report nel quale è possibile trovare i risultati di uno studio sui forum della darknet e un’analisi dei gruppi REvil e Babuk. Inoltre vengono sfatati alcuni dei miti più comuni sui ransomware.

Anche l'ecosistema dei ransomware, come qualsiasi altro settore industriale, è composto da vari attori che ricoprono ruoli diversi. Contrariamente alla convinzione comune secondo cui i gruppi criminali che sfruttano questa minaccia siano in realtà organizzazioni ben affiatate che lavorano sempre insieme, in stile “Il Padrino”, la realtà è più simile al mondo descritto in “The Gentlemen” di Guy Ritchie. Infatti, nella maggior parte degli attacchi, viene coinvolto un gran numero di attori diversi, che si scambiano servizi a vicenda attraverso il mercato del dark #web. Tra questi figurano sviluppatori, botmaster, venditori di accessi e operatori di ransomware.

Tutti questi attori si incontrano sui forum specializzati della darknet, dove è possibile trovare offerte di servizi e collaborazioni. Solitamente i gruppi più importanti che operano da soli non frequentano questi siti, tuttavia, alcuni tra i più noti e più attivi, tra cui REvil, pubblicizzano regolarmente le loro offerte e notizie utilizzando programmi di affiliazione. Questo tipo di coinvolgimento presuppone una partnership tra il gruppo operatore del ransomware e l'affiliato e prevede che l’operatore del ransomware prenda una quota del profitto tra il 20% e il 40% mentre all’affiliato toccherà il restante 60-80%.

La selezione dei partner è un processo che segue delle regole di base prestabilite dagli operatori di ransomware, comprese le restrizioni geografiche e le opinioni politiche. Allo stesso tempo, le vittime vengono selezionate tenendo conto di quanto siano redditizie.

Tenuto conto che i gruppi che infettano le organizzazioni e quelli che realizzano il ransomware sono diversi ma uniti dal comune obiettivo di fare profitto, le aziende più colpite sono spesso quelle il cui accesso viene ottenuto con maggiore facilità e quindi il costo dell’attacco può essere considerato basso. Gli attaccanti potrebbero appartenere sia a gruppi che operano all'interno di programmi di affiliazione sia ad operatori indipendenti che vendono gli accessi mettendoli all’asta o come fix a partire da un minimo di 50 dollari. La maggior parte delle volte, gli attaccanti si dividono in due tipologie: i proprietari di botnet che lavorano su campagne di ampia portata e che vendono gli accessi alle macchine delle vittime in grandi quantità e i venditori di accessi che cercano vulnerabilità rese note pubblicamente all’interno dei software collegati a Internet, come le VPN o e-mail gateway. Queste vulnerabilità vengono poi sfruttate per accedere alle organizzazioni.