Gli attacchi ransomware consistono in un ecosistema di attori. C'è pubblicità e fornitura di servizi e partnership su mercati e forum specializzati nel dark web. L'operatore di ransomware riceve tra il 20 e il 40 percento di quota di profitto, il resto rimane con il partner. . L'accesso aziendale parte da $ 50.
Gli attacchi ransomware che crittografano i dati e richiedono un riscatto stanno colpendo aziende di ogni dimensione e settore. Può facilmente dare l'impressione che gli attori agiscano arbitrariamente. In realtà, tuttavia, dietro c'è un complesso ecosistema con molti attori diversi, ognuno dei quali assume ruoli individuali. In occasione dell'Anti-Ransomware Day, Kaspersky fornisce informazioni sul complesso ecosistema alla base del ransomware in un nuovo rapporto [1].
L'ecosistema ransomware è alla ricerca di partner
Sviluppatori, bot master, fornitori di credenziali o operatori di ransomware: l'ecosistema del ransomware è composto da una varietà di attori. Offrono tutti servizi diversi tramite pubblicità su Darknet [2]. I gruppi professionali indipendenti e di spicco in genere non visitano tali siti, ma REvil, ad esempio, che negli ultimi trimestri ha sempre più preso di mira le organizzazioni, ora pubblica regolarmente le sue offerte e notizie attraverso programmi di affiliazione. Ciò crea una partnership tra l'operatore del ransomware e il cliente, con l'operatore del ransomware che riceve una quota di profitto compresa tra il 20 e il 40 percento come venditore, mentre il restante 60-80 percento rimane con il "partner affiliato". La selezione dei partner segue un processo elaborato con regole stabilite dagli operatori di ransomware, comprese restrizioni geografiche o allineamenti politici, mentre le vittime di ransomware vengono selezionate in modo da massimizzare l'utilità.
Comune ricerca del profitto
Venditori e clienti o partner condividono una comune ricerca di profitto, motivo per cui le organizzazioni più infette sono spesso obiettivi più semplici a cui era particolarmente facile accedere. Tali accessi vengono messi all'asta su piattaforme d'asta o offerti nei forum Darknet a prezzi fissi a partire da 50 dollari USA. Gli aggressori sono per lo più proprietari di botnet che partecipano a campagne massicce e ad ampio raggio e vendono in massa l'accesso ai dispositivi delle loro vittime. I fornitori di credenziali, d'altra parte, sono sempre alla ricerca di vulnerabilità pubblicizzate nel software connesso a Internet, come applicazioni VPN o gateway di posta elettronica, che possono utilizzare per infiltrarsi nelle organizzazioni.
Gli operatori di ransomware in genere vendono campioni di malware e generatori di ransomware da $ 300 a $ 4.000. Un altro modello di business è il ransomware-as-a-service, in cui il ransomware viene offerto con il supporto continuo dei suoi sviluppatori per $ 120 al mese o $ 1.900 all'anno.
Discutete insieme dei rischi e prendete contromisure
"Negli ultimi due anni, abbiamo visto i criminali informatici diventare più audaci quando si tratta di ransomware", ha affermato Craig Jones, direttore del crimine informatico presso INTERPOL. “Tali attacchi non sono più limitati alle grandi aziende e alle organizzazioni governative. Gli operatori di ransomware sono pronti ad attaccare praticamente qualsiasi organizzazione, indipendentemente dalle sue dimensioni. L'industria del ransomware è complessa e coinvolge molti attori diversi con ruoli diversi. Per fare qualcosa al riguardo, dobbiamo imparare come funziona e combatterlo all'unisono. L'Anti-Ransomware Day è una buona occasione per sensibilizzare e ricordare al pubblico l'importanza di utilizzare pratiche di sicurezza efficaci. Il Global Cybercrime Program di INTERPOL e i nostri partner sono pienamente impegnati a ridurre l'impatto globale del ransomware e a proteggere la società dai danni causati da questa crescente minaccia".
Ecosistema di ransomware eterogeneo
"L'ecosistema del ransomware è multiforme e ci sono molti interessi in gioco", aggiunge Dmitry Galov, ricercatore di sicurezza del Global Research and Analysis Team (GReAT) di Kaspersky. “È un mercato in continua evoluzione con molti giocatori, alcuni abbastanza opportunisti, altri molto professionali e di buon senso. Non selezionano obiettivi specifici, ma possono attaccare qualsiasi organizzazione, indipendentemente dalle dimensioni, se ottengono l'accesso a un sistema. La tua attività è fiorente e non scomparirà presto. Fortunatamente, misure di sicurezza abbastanza semplici possono fermare gli aggressori. Le procedure standard, come gli aggiornamenti regolari del software e i backup, sono già di aiuto."
"Contromisure efficaci contro l'ecosistema ransomware possono essere prese solo una volta che i suoi fondamenti saranno veramente compresi", ha aggiunto Ivan Kwiatkowski, senior security researcher del Global Research and Analysis Team (GReAT) di Kaspersky. "Attraverso il nostro rapporto, speriamo di aiutare a capire esattamente come sono organizzati gli attacchi ransomware in modo che la comunità della sicurezza IT possa adottare contromisure appropriate".
Più SecureList su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/