venerdì 15 luglio 2016

Ransomware as a service: come si sta organizzando il mercato dei ransomware

Qualche tempo fa abbiamo parlato dei ranomware Misha e Petya, due ransomware “fratelli” diffusi dallo stesso gruppo di cyber-criminali. Nel dettaglio facemmo notare che i due ransomware erano acquistabili online, nel deep web, nella piattaforma denominata Janus Cybercrime. La piattaforma (vedere l’immagine sotto) prevedeva anche una vera e propria forma di marketing dei prodotti Misha e Petya, con elenco dei vantaggi, prezzario e percentuali di guadagno.




La strategia si consolida e ripete

E’ in circolazione un nuovo ransomware, denominato Stampado. Critpa i file con estensione .locked e non ha nessuna grossa differenza di funzionamento rispetto al Cryptolocker. Non presenta cioè, tecnicamente, nessuna novità rilevante. La novità rilevante è che Stampado viene venduto in Internet esattamente con un qualsiasi servizio. E’ ciò che è stato definitio RaaS (Ransomware as a Service).


Una licenza a vita di utilizzo del ransomware costa 39 euro, un prezzo tra l’altro assolutamente concorrenziale, perché molto basso rispetto agli altri, nel mercato dei ransomware, segno che dietro a Stampado c’è una vera e propria strategia di lancio, come fosse un nuovo prodotto qualsiasi.
Ad esempio, ecco il video promo del ransomware caricato su youtube


Ransomware as a Service

Il meccanismo è , a grandi linee, questo: un gruppo di cybercriminali (o un singolo) decide di sviluppare e distribuire un ransomware. Viene approntata una piattaforma nel deep-web dove si ospita il ransomware, un servizio di pagamento per lo stesso, la pubblicità e, ormai sempre più spesso, un servizio di assistenza sui malfunzionamenti/problemi di utilizzo e diffusione del ransomware.

I ransomware venduti sono “modelli base”: l’utente che lo acquista può personalizzarne solitamente nome, costo del riscatto, grafica e testo del riscatto, più raramente il funzionamento.
I programmatori dei ransomware infatti provvedono anche alla creazione di una piattaforma di personalizzazione e gestione del ransomware intuitiva per l’utente.

L’utente che acquista e diffonde il ransomware è tenuto a versare una percentuale dei guadagni ottenuti dai riscatti ai programmatori originali del ransomware. E nulla vieta all’utente di rivendere poi il ransowmare personalizzato, diventando anch’esso un punto di distribuzione del ransonmware e magari chiedendo a sua volta una percentuale.
Ci sono cioè tutte le possibilità per sviluppare un vero e proprio meccanismo di franchising.

Alcuni esempi:

Oltre a Stampado e Petya/Misha sono RaaS anche molti altri ransomware, segno che il fenomeno è ormai in forte crescita.Giusto un paio di esempi:

1. ORX Locker
Il ransomware ORX è acquistabile nel deep web ed è facilmente personalizzabile. Cripta i file in .LOCKED ed ha funzionamento simile ad altri ransomware come CTB Locker o Cryptolocker. L’utente che vuole comperare il ransomware, paga i cyber-criminali e riceve un file .zip che contiene a sua volta il .exe del ransomware. A questo punto è a cura dell’utente la diffusione del ransomware. I programmatori hanno fissato un minimo di riscatto di 75 dollari e non esiste massimale: la quota da versare agli sviluppatori è del 20%.

Nell'immagine la piattaforma di personalizzazione del ransomware ORX Locker



ORX è stato pubblicizzato nel web, in vari forum, dall'utente "orxteam": nell'immagine uno dei numerosi messaggi





Nel testo si legge:

"Ciao a tutti, siamo il team ORX e siamo sempre stati attivi su vari forum, ma siamo nuovi su questo. Siamo felici di ringraziare e ricambiare la community rendendo pubblico il nostro servizio privato. Dopo un anno ricco di successi grazie al nostro software privato di criptazione, abbiamo ora deciso di diffonderlo al pubblico. Abbiamo lavorato sodo per garantirvi una opzione migliore rispetto agli altri servizi di criptazione, implementando una efficace procedura di criptazione e escludendo alcuni dei maggiori difetti di decriptazione che hanno invece altri tipi di servizio. 
Vi metteremo in condizione di avere a disposizione tutto ciò che vi occorre per fare soldi facili e veloci in pochi minuti. Fai registrare altri utenti usando il tuo username come riferimento e guadagnerai automaticamente il 3% di ogni riscatto che riceveranno. "

2. Ransom32

Ransom32 ha, come peculiarità, quello di essere uno tra i primi ransomware a essere scritti interamente in Javascript. E’ acquistabile nel deep web: tutto quello che occorre è un indirizzo Bitcoin per effettuare e ricevere pagamenti non tracciabili. I programmatori del ransomware richiedono una percentuale del 25% su ogni riscatto ottenuto. Bisogna registrarsi alla piattaforma di vendita e, una volta ottenuta registrazione e attivazione, si accede alla console di affiliazione, dove è possibile personalizzare il ransomware stabilendo la quota di riscatto, se abilitare o meno la funzione di blocco del sistema, il momento in cui verrà visualizzato dalla vittima il messaggio di riscatto ecc..
Una volta personalizzato il ransomware si accede alla schermata di download che permette di scaricare il .exe: da quel momento è a cura dell’acquirente la diffusione del ransomware secondo i mezzi che ritiene più idonei.

Nell'immagine, il pannello di personalizzazione del ransomware, accessibile dalla console di affiliazione

Nessun commento:

Posta un commento