Il ransomware versa fortune nei conti di criptovaluta dei criminali informatici. Ma dove va a finire tutto il carbone? Una vita nel lusso? La ricerca di Sophos mostra che molti soldi vengono investiti in ulteriori attacchi. Chi paga finanzia anche il prossimo attacco a se stesso.
Dove vanno effettivamente i milioni di Bitcoin & Co. che le vittime di attacchi ransomware pagano ai loro ricattatori supponendo che rientreranno in possesso dei loro dati confiscati? Almeno una volta c'è stata un'intuizione: durante un arresto in Ucraina di sospetti legati al gruppo ransomware Clop, è stata raccolta un'impressionante raccolta di targhette auto raccolte come prova e numerose auto di lusso trovate su carri attrezzi sono state caricate e sequestrate.
Reinvestire per ulteriori attacchi
Ma, come ogni buona azienda, anche i criminali informatici investono una certa percentuale dei profitti nelle "operazioni". E l'espansione del business del crimine informatico in generale è anche un modello di business popolare per l'utilizzo dei dollari guadagnati. Quindi non sorprende che l'anno scorso il gruppo REvil abbia donato XNUMX milione di dollari in bitcoin a un forum sulla criminalità informatica come pagamento anticipato per i servizi resi. Tuttavia, questa azione è servita più a dimostrare ai membri del forum che il denaro offerto era più di una semplice promessa: era già un investimento obbligatorio da spendere per i "candidati" di successo.
RAT, LPE, RCE: il gergo del crimine informatico sotto la lente d'ingrandimento
Le offerte in questo mercato del crimine informatico sembrano criptiche, spaziando dal software fileless per Windows 10 fino a $ 150.000 per la soluzione originale, agli exploit zero-day tra cui RCE con un budget multimilionario, a offerte come "Comprerò i RAT più puliti .” L'elenco dei termini tecnici sui forum di cybercrime è lungo, i più importanti sono brevemente descritti di seguito:
RAT = Trojan di accesso remoto
Conosciuto anche come robot o zombi. I RAT aprono scappatoie di accesso non autorizzato che consentono ai truffatori di assumere il controllo del PC. Alcuni RAT forniscono comandi di accesso remoto espliciti che attivano il keylogging, acquisiscono schermate, registrano audio e video o copiano file sensibili.
Ma quasi tutti i RATS dispongono anche di funzionalità che possono aggiornare automaticamente i RAT stessi, scaricare o installare malware aggiuntivo o casuale o chiudere immediatamente il RAT originale e rimuovere tutte le prove. L'enorme capacità di un RAT di trasformarsi in un tipo di malware completamente diverso dimostra che i rischi posti da un RAT non rilevato sono quasi illimitati.
Il software senza file "vive" nel registro
Tecnicamente, il software che "vive" nel registro (in Windows, il luogo in cui risiede la configurazione del sistema operativo) non è realmente privo di file, perché il registro stesso risiede in un file sul disco rigido. Ma la maggior parte del software che Windows avvia automaticamente all'avvio è elencato nel registro come nome file contenente il programma da eseguire. Quindi, se il programma è dannoso o indesiderato, una normale scansione del disco rigido può trovare e rimuovere il malware. Questo è il corso normale. Tuttavia, alcune voci di registro possono contenere lo script o il programma effettivo che si desidera che Windows esegua codificato direttamente nei dati di registro. Le minacce archiviate in questo modo non occupano un proprio file su disco e sono quindi più difficili da trovare.
LPE = escalation dei privilegi locali
I truffatori non possono penetrare nel computer in un LPE. Ma: se sono già nel sistema, possono utilizzare una vulnerabilità LPE per promuoversi da un normale account utente a un account con più diritti. Il favorito dell'hacker è l'amministratore di dominio, quasi sullo stesso piano dell'amministratore di sistema.
RCE = Esecuzione di codice remoto
Fa esattamente quello che dice: gli aggressori entrano nel computer e avviano un programma di loro scelta senza un login con nome utente/password.
Exploit zero-day
Vulnerabilità per le quali non ci sono ancora patch
Attacco zero clic
Attacchi che non richiedono l'intervento dell'utente. La tecnologia funziona anche quando il computer è bloccato o nessuno è connesso, come spesso accade sui server.
La domanda cruciale dopo un attacco ransomware: pagare o no
Contare o non contare, questa è la domanda dopo un attacco hacker riuscito con ransomware. Sfortunatamente, mentre non dovrebbe mai essere pagato alcun riscatto, non esiste una risposta univoca in quanto potrebbe essere l'unica possibilità per la vittima di evitare un disastro aziendale. Tuttavia, come chiarisce il Sophos State of Ransomware Report 2021, il pagamento del riscatto è tutt'altro che una garanzia di recupero completo dei dati. Solo l'8% di coloro che hanno pagato il riscatto ha recuperato tutti i propri dati. "Chiunque abbia detto a se stesso che pagare il riscatto per risparmiare tempo e sforzi di recupero non può fare molto male agli altri dovrebbe saperlo meglio", ha affermato Paul Ducklin, senior technologist di Sophos. "Fare affari con i cybercriminali è giocare con il fuoco, e allo stesso tempo tutti dovrebbero essere consapevoli che il denaro dell'estorsione non viene speso solo in lussi privati, ma anche in nuovi attacchi e tecnologie, il che aumenta la crescita del business del crimine informatico come un'intera."
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.