Archivio
Categorie

Dark Web: la fabbrica dei malware

Anonymous person with notebook in the dark

Il fenomeno dell’estorsione ha origine antiche, quando la vendetta privata era una pratica comune e poco legiferata. Tra le forme più comuni di estorsione, le più efficaci e remunerative erano quelle attuate a seguito di sequestri: principesse e nobildonne erano spesso vittime di rapimenti, motivati da ragioni sociali ed economiche che comportavano richieste di riscatto elevate. Nell’era più vicino a noi, il rapimento a scopo di lucro è diventato sempre più organizzato: le bande criminali iniziarono ad utilizzare metodi sempre più sofisticati per mettere a segno rapimenti di persone facoltose, o ad esse vicine, e richiedere (e molto spesso reiterando le richieste) cospicui riscatti per ottenerne la liberazione.

Oggigiorno la tecnologia digitale è entrata a far parte della nostra vita in maniera pervasiva, le modalità di estorsione si sono quindi evolute verso forme digitali dove i nuovi “oggetti” del sequestro sono diventati i dati e le informazioni, che rappresentano i nuovi “assets strategici” dell’era moderna. In questo contesto le nuove modalità di estorsione sono attuate attraverso attacchi cyber sferrati alle infrastrutture informatiche di aziende ed organizzazioni con lo scopo di “sequestrare” dati a fine di lucro.

Tra le più redditizie ed utilizzate dai cyber criminali per raggiungere i propri obiettivi si annoverano i ransomware – neologismo anglofono composto da “Ransom” (riscatto) e “Ware” (di derivazione software). I “rapitori”, infiltrandosi nelle reti informatiche aziendali attivano, con tecniche auto-replicanti, il programma malevolo (appunto il ransomware) il quale agisce sia crittografando file, database e applicazioni così da renderli inutilizzabili e quindi paralizzando l’operatività delle organizzazioni, che esfiltrando i dati verso sistemi gestiti dai cyber criminali stessi, chiedendo il pagamento in criptovalute per il loro rilascio.

Analogamente ad un rapimento del passato, le aziende vittime degli attacchi ransomware spesso si trovano intrappolate in un ciclo di estorsioni. Gli aggressori non solo chiedono somme sempre maggiori per la decrittazione dei dati “presi in ostaggio”, ma minacciano anche di divulgare informazioni sensibili se le loro richieste economiche non vengono soddisfatte, aumentando così la pressione sulle vittime. Proprio per questo le ripercussioni di un attacco ransomware possono essere disastrose per individui, aziende e organizzazioni. Oltre al danno finanziario immediato causato dal pagamento del riscatto, le vittime possono affrontare lunghi periodi di inattività, cali di produttività, danni reputazionali e responsabilità derivanti da violazioni dei dati o dal mancato rispetto delle normative.

Se l’attuazione di un attacco ransomware può sembrare molto complicato per via delle competenze tecniche e delle risorse informatiche necessarie, in realtà è più semplice di quello che si pensi. Esiste infatti un vero e proprio business accessibile nel dark-web chiamato RaaS (Ransomware As A Service): “fornitori di servizi” offrono a “sottoscrittori” servizi ransomware inclusivi di tutte le funzionalità utili e necessarie per portare a termine l’attacco informatico massimizzando i proventi. Il sottoscrittore quindi (RaaS Affiliate) a fronte del pagamento mensile di qualche decina di dollari (in criptovaluta ed irrisorio rispetto ai riscatti milionari richiesti alle vittime) e di una percentuale sui profitti illeciti, ha la possibilità di usufruire dei seguenti servizi offerti dalle cosiddette ransomware gang (RaaS Operator):

  • creare la propria variante ransomware a partire da modelli pre-impostati;
  • cruscotto dedicato per consentire al sottoscrittore di monitorare l’azione del proprio ransomware;
  • portale di pagamento per le vittime e supporto alle negoziazioni con esse;
  • sito per la gestione dei dati esfiltrati (Data-leak sites).

I RaaS Operator più sofisticati offrono inoltre portali che consentono ai loro affiliati di verificare lo stato delle “infezioni”, i pagamenti ricevuti, il totale dei file crittografati e altre informazioni relative ai loro obiettivi. Gli affiliati inoltre possono avere accesso a supporto, community, documentazione, aggiornamenti delle funzionalità e altri vantaggi identici a quelli ricevuti dagli utilizzatori di altri prodotti informatici legittimi. Oltre ai portali RaaS, i RaaS operators gestiscono campagne di marketing e siti web assolutamente comparabili a quelli di una qualsiasi azienda di prodotti o servizi. Hanno video, white paper e sono anche attivi sui social.

Con questi strumenti a disposizione dei cyber criminali, il rischio per le aziende di diventare vittime dei ransomware è elevatissimo soprattutto se il livello di sicurezza Cyber non risulta adeguato; negli ultimi anni quasi tutti i settori di mercato sono state colpiti.

Da un’analisi di ENISA(Threat Landscape 2024) è emerso che le rivendicazioni apparse sui Data-Leak sites nel dark web che si attestano a circa 1000 per quarter – i settori più impattati tra il 2023 ed il 2024 sono stati in ordine decrescente il settore manifatturiero, le vendite al dettaglio, le aziende sanitarie, i servizi ICT, il comparto banking e finanziario, con un valore economico dei riscatti (determinato attraverso il tracciamento delle transazioni in criptovaluta) che secondo Chainalysis ha superato 1.1 Miliardi di dollari nel 2023, evidenziando un trend in crescita esponenziale dal 2019.

Oltre al costo dei riscatti pagati, le aziende devono sostenere anche i costi legati al ripristino della propria operatività, ovvero le consulenze specialistiche per eradicare il ransomware, ripristinare i dati e le applicazioni, nonché gli oneri per inattività e gli eventuali impatti derivanti dalle violazioni normative.

Considerato la crescita del fenomeno e le tecniche sempre più sofisticate in possesso ai malintenzionati, è assolutamente necessario che, sia gli individui che le aziende, adottino proattivamente e in ottica di “miglioramento continuo”, le misure tecniche e organizzative necessarie a proteggere, salvaguardare e supervisionare i dati e le informazioni aziendali, perché è proprio con la prevenzione che il rischio ransomware può essere contrastato.

Total
0
Shares
Share 0
Tweet 0
Pin it 0
You May Also Like

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

About

Lasciando impronte tracciamo il futuro

Questo blog è un’idea nata dall’iniziativa di un team di appassionati di tecnologia, che quotidianamente si confrontano sui temi connessi con l’innovazione e il progresso tecnologico, con lo sguardo rivolto ai principali top trend e ai rischi delle minacce cyber in continua evoluzione. Il nostro scopo è quello di tracciare il futuro lasciando impronte per diffondere la cultura digitale mediante la creazione di una rubrica semplice e intuitiva con il contributo di una rete di esperti e professionisti del settore, in grado di fornire un punto di vista qualificato e privilegiato che consenta di affrontare le sfide di domani con consapevolezza e lungimiranza.
Impronte Digitali