Il dark web è il temuto supermercato online: i cybercriminali affittano ransomware, infostealer, botnet, loader e backdoor. In alcuni casi, i fornitori ricevono una quota fino al 40% del riscatto delle vittime. Le offerte partono da soli $ 100 per Malware-as-a-Service.
Negli ultimi sette anni, il ransomware è stato distribuito più frequentemente tramite Malware-as-a-Service (MaaS), come mostrano le attuali analisi di Kaspersky. Rappresenta il 58% del mercato MaaS. I criminali informatici possono "accettare" gratuitamente il ransomware-as-a-service (RaaS). Tuttavia, una volta diventati partner del programma, pagano per il servizio dopo che si è verificato l'attacco, dal 10 al 40 percento del riscatto delle vittime. Anche infostealer, botnet, loader e backdoor possono essere "noleggiati".
Noleggia armi di attacco informatico per pochi soldi
🔎 Sono state aggiunte famiglie di malware Malware-as-a-Service più offerto da Dal 2015 al 2022 (Immagine: Kaspersky).
Malware-as-a-Service (MaaS) descrive un modello di business illegale in cui il software viene affittato per eseguire attacchi informatici. Di norma, agli utenti criminali informatici di tali servizi viene offerto un account personale – oltre al supporto tecnico – con il quale possono controllare l'attacco.
Un'analisi degli esperti di Kaspersky ora mostra che il ransomware in particolare viene utilizzato come parte di MaaS. Ha rappresentato il 58% di tutto il malware distribuito tramite i Servizi tra il 2015 e il 2022. La base dell'analisi è stata l'esame di 97 famiglie di malware distribuite tramite il dark web e altre fonti Internet.
Ransomware come il malware-as-a-service più popolare
I criminali informatici possono "abbonarsi" gratuitamente al ransomware-as-a-service (RaaS). In quanto membri di tale programma, pagano il servizio solo dopo che si è verificato l'attacco. L'importo del pagamento dipende dalla quota del riscatto pagata dalla vittima e di solito è compreso tra il 10 e il 40 percento per transazione.
Anche gli infostealer continuano ad essere popolari: hanno raggiunto una quota del 24% nel periodo esaminato. Questo è un malware che può rubare dati come credenziali di accesso, password, carte bancarie e account, cronologia del browser o portafogli crittografici.
Un quarto delle famiglie di malware sono infostealer
Queste cinque famiglie di ransomware di noti gruppi sono state distribuite con il modello MaaS nel dark web e nel deep web dal 2018 al 2022 (Immagine: Kaspersky).
I servizi di Infostealer vengono pagati tramite un modello di abbonamento; il prezzo è solitamente compreso tra 100 e 300 dollari USA al mese. Ad esempio, Raccoon Stealer, interrotto all'inizio di febbraio 2023, potrebbe essere acquistato per $ 275 al mese o $ 150 a settimana. Il software della concorrenza RedLine costa $ 150 al mese, anche se è possibile acquistare una licenza a vita per $ 900, secondo le informazioni pubblicate dagli operatori sul dark web. Inoltre, gli aggressori offrono altri servizi a pagamento.
Insieme a infostealer, botnet, loader e backdoor costituiscono il 18% delle famiglie di malware vendute come servizio. Spesso questi programmi dannosi vengono raggruppati perché condividono un obiettivo comune: caricare ed eseguire altro malware sul dispositivo della vittima.
Componenti di MaaS e classificazione dei programmi dannosi
I criminali informatici che eseguono piattaforme MaaS sono generalmente indicati come operatori, mentre coloro che acquistano questi servizi sono noti come affiliati. Dopo aver firmato un contratto con gli operatori, gli affiliati ottengono l'accesso a tutti i componenti necessari di MaaS, come i pannelli di comando e controllo (C2), i costruttori (programmi per la creazione rapida di modelli di malware univoci), malware e aggiornamenti dell'interfaccia, supporto, guide e hosting. I pannelli sono un componente cruciale che consente agli aggressori di controllare e coordinare le attività delle macchine infette. Ad esempio, i criminali informatici possono esfiltrare dati, negoziare con le vittime, contattare l'assistenza, creare modelli di malware unici e altro ancora.
Alcuni tipi di MaaS, come gli infostealer, consentono agli affiliati di creare il proprio team. I membri di tale squadra sono chiamati trafficanti. Distribuiscono malware per aumentare i loro profitti e riscuotere interessi, bonus e altri pagamenti dagli affiliati. I trafficr non hanno accesso al pannello C2 o ad altri strumenti. Il loro unico obiettivo è aumentare la diffusione del malware. Di solito lo fanno mascherando i campioni come crack e istruzioni per l'hacking di programmi legittimi su YouTube e altri siti web.
Il prezzo determina la complessità dell'arma malware
"I programmi dannosi come il caricatore Matanbuchus mostrano fluttuazioni di prezzo nel tempo: a giugno il prezzo era di $ 4.900 al mese", commenta Alexander Zabrovsky, Digital Footprint Analyst di Kaspersky. “Questo tipo di malware è più costoso degli infostealer perché il codice dannoso stesso è più complesso. Allo stesso tempo, l'operatore mette a disposizione l'intera infrastruttura in modo che i partner non debbano pagare un extra per l'hosting sicuro quando utilizzano Matanbuchus. Il numero di abbonati a Matanbuchus è molto limitato, il che consente agli aggressori di non essere individuati per lunghi periodi di tempo.
I criminali informatici commerciano attivamente beni e servizi illeciti, inclusi malware e dati rubati, negli angoli oscuri di Internet. Quanto meglio le aziende comprendono come è strutturato questo mercato, tanto più possono conoscere i metodi e le motivazioni dei potenziali aggressori. Grazie a queste informazioni, possiamo supportare meglio le organizzazioni nello sviluppo di strategie efficaci per proteggersi dagli attacchi informatici, in quanto possiamo rilevare e monitorare l'attività dei criminali informatici, tracciare il flusso di informazioni e rimanere al passo con le nuove minacce e tendenze".
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/