Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

IL QUADRO

Crime as a Service (CaaS): cos’è e come funziona la fabbrica dei malware

Nel mondo del cybercrime l’hacker singolo è stato sostituito da vere e proprie organizzazioni criminali strutturate come aziende in grado di offrire soluzioni criminali pronte all’uso. Ecco come opera la catena produttiva del Crime as a Service

29 Ott 2018

Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del CLUSIT, www.giorgiosbaraglia.it


Ormai anche il cybercrime ha fatto proprio il modello di business basato sul concetto di Software as a Service (SaaS), adattandolo ovviamente al mondo del crimine informatico: un mondo, quello del Crime as a Service, nel quale l’hacker singolo, nerd e goliardico, è stato sostituito da vere e proprie organizzazioni strutturate come aziende, ma con finalità cyber criminali e in grado di offrire servizi sempre più virtualizzati ed esternalizzati. Quelle che Alessio L.R. Pennasilico ha definito, con un’immagine estremamente efficace, le Cyber Crime Spa.

Crime as a Service: la filiera produttiva del malware

Questa “industrializzazione” del cybercrime ha fatto nascere una filiera produttiva in grado di offrire un ampio portafoglio di servizi, con una diversificazione dei ruoli.

Ci sono quindi gli specialisti (“quelli bravi”) che realizzano i prodotti, che possono essere exploit kit, ransomware o anche reti botnet da noleggiare. Ci sarà poi qualcun altro che commercializza questi prodotti a clienti che potrebbero essere anche semplici utilizzatori, non criminali abituali. Persone o organizzazioni che non sarebbero in grado di realizzare da soli l’arma, ma l’acquistano per mettere in atto qualche attività più o meno illegale o addirittura cybercriminale.

Il grande rischio del Crime as a Service è che contribuisce ad abbassare le barriere d’ingresso al cybercrime, permettendo anche a persone poco esperte, ma spregiudicate, di compiere estorsioni ed attacchi informatici.

Dall’altra parte, i veri cybercriminali (quelli bravi!) hanno modo di ampliare il loro business ed aumentare la penetrazione del mercato creando una rete capillare di “rivenditori” del loro prodotto.

Possiamo dire che qualsiasi prodotto cybercriminale può essere diffuso e commercializzato attraverso il modello del Crime as a Service (CaaS), perché questo è null’altro che un’applicazione criminale del modello “as-a-Service” che già esiste in forma lecita.

CaaS offre accesso a tutti le risorse digitali necessarie per commettere crimini informatici, come software dannoso (malware), botnet (reti di computer infettati da malware), database di informazioni personali rubate. E le modalità di diffusione (vorrei dire di commercializzazione) sono le stesse utilizzate nel mondo del business legittimo.

Vediamo quali sono quelli che meglio si prestano e che hanno avuto la maggior diffusione.

Ransomware as a Service: la fabbrica dei virus sequestra-PC

Un’applicazione – inquietante – di questo fenomeno è il Ransomware as a Service (RaaS).

Ricordiamo che i ransomware sono una classe di malware che crittografa, rendendoli inaccessibili, i dati dei computer infettati e chiede il pagamento di un riscatto, in inglese “ransom”, per ripristinarli.

Ovviamente, la creazione di un ransomware richiede competenze specifiche e avanzate. Ma oggi nel Dark Web, attraverso la rete TOR vengono offerti software ransomware che chiunque può “acquistare”, personalizzare e diffondere per infettare vittime, criptare i loro documenti e chiedere un riscatto.

Il tutto a condizioni molto vantaggiose: nel caso di Princess Evolution l’acquirente si trattiene il 60% del ricavato del riscatto. Gli autori del codice malevolo, invece, si “accontenteranno” del restante 40%.

Satan è ancora più conveniente: gli sviluppatori trattengono solo il 30% dei riscatti (che può essere ridotto, se gli “incassi” sono alti), il resto va al “cliente”.

Alcune di queste piattaforme offrono un vero e proprio configuratore (in figura quello di Satan) per poter personalizzare il malware secondo i propri gusti.

Satan è una piattaforma di Crime as a Service che offre un vero e proprio configuratore per la creazione di pericolosi ransomware.

Ransomware as a Service è diventato un modello redditizio sia per i venditori di malware che per i loro clienti. I primi, utilizzando questo approccio, possono acquisire nuovi clienti che diventano vettori di infezione. In questo modo riescono a colpire nuove vittime che altrimenti non sarebbero in grado di raggiungere. Dall’altra parte, i clienti che fruiscono del RaaS possono ottenere in modo semplice – ed abbastanza economico – un ransomware semplicemente configurandone alcune funzionalità e distribuendolo a vittime inconsapevoli.

Una delle più popolari piattaforme di Ransomware a as Service è oggi RaaSberry, molto semplice da utilizzare.

RaaSberry fornisce pacchetti ransomware personalizzati che sono pronti per essere distribuiti. I pacchetti sono precompilati con un indirizzo Bitcoin fornito dai clienti e i creatori di piattaforme non ricevono alcuna forma di pagamento dalle vittime. Una volta che il ransomware viene eseguito sul computer della vittima, crittograferà con un’unica chiave AES a 265 bit tutti i tipi di file aventi le estensioni stabilite nel configuratore, nella fase di creazione.

RaaSberry, come altri prodotti simili, offre anche una dashboard (pannello di controllo) dove sono disponibili in tempo reale una serie di statistiche sulla campagna di ransomware: il numero di utenti infettati, il numero di persone paganti ed il relativo guadagno monetario.

Non solo: con politiche di marketing studiate con cura (ricordate quando abbiamo parlato della Cyber Crime S.p.A.?) i creatori di RaaSberry offrono pacchetti differenziati che includono, per ogni piano, lo stesso ransomware ma un diverso tempo di abbonamento al server C&C (Command and Control). Come mostrato nella figura seguente, ci sono diversi piani tra cui scegliere:

La piattaforma RaaSberry offre, a prezzi tutto sommato accessibili, pacchetti ransomware personalizzati pronti per essere distribuiti.

Oltre a RaaSBerry ed ai già citati Princess Evolution e Satan, esistono nel Dark Web molte altre piattaforme RaaS:

  • Ranion: offre una dashboard particolarmente completa (vedi figura), nella quale possiamo controllare il tempo di abbonamento e quando scade, le macchine infettate (con ID computer), il nome utente della vittima, il sistema operativo, l’indirizzo IP, la data dell’infezione, il numero di file crittografati e la relativa chiave di crittografia;
  • EarthRansomware, che a differenza degli altri, offre il servizio a al prezzo fisso di 0,3 BTC;
  • Redfox ransomware: è uno dei più avanzati e personalizzabili. RedFox crittografa tutti i file utente e le unità condivise utilizzando l’algoritmo BlowFish;
  • Createyourownransomware: è totalmente gratuito, consente agli utenti di scaricare un ransomware pronto all’uso compilando solo 3 voci nel form di configurazione: l’indirizzo Bitcoin in cui vuoi ricevere il riscatto, l’importo del riscatto ed un codice captcha. Al cliente va il 90% dell’importo del riscatto, l’importo residuo rappresenta la commissione che gli amministratori della piattaforma si trattengono per il servizio;
  • Datakeeper: con GandCrab e Saturno, è una delle piattaforme RaaS più recenti. Il ransomware creato attraverso queste piattaforme ha infettato molte macchine all’inizio del 2018, confermando – se ce ne fosse stato il bisogno – l’efficacia e la crescente diffusione del modello Ransomware as a Service. Questa piattaforma sembra essere una delle più complete perché consente di scegliere un ampio set di opzioni, tra le quali le estensioni dei file da crittografare.

DDoS as a service: reti botnet a noleggio

Come è noto, un attacco DDoS (Distributed Denial of Service) viene realizzato utilizzando reti botnet, ovvero migliaia di dispositivi (cosiddetti “zombie”) compromessi da malware, in grado di generare traffico dati verso uno specifico target con l’obiettivo di saturarne in poco tempo le risorse e di renderlo indisponibile.

Il traffico dati utilizzato negli attacchi DDoS ha dimensioni sempre crescenti: Clusit ci indica che nel 2016 i DDoS avevano valori medi di attacchi pari a 11 Gbps (Gigabit per secondo), nel 2017 si è arrivati ad un valor medio 59 Gbps. Un incremento importante pari a circa 6 volte rispetto al dato medio registrato nell’anno precedente.

Ci sono stati anche attacchi di dimensioni ben più clamorose, come quello del 21 ottobre 2016 che ha colpito DynDns (azienda del New Hampshire che fornisce la gestione dei DNS), utilizzando una botnet denominata Mirai costituita da circa 500.000 dispositivi IoT ed in grado di produrre un traffico di oltre 1.000 Gbps. Proprio in questi giorni tre ventenni americani sono stati condannati (niente carcere, solo cinque anni di libertà vigilata e altre sanzioni) per aver creato e diffusa la botnet Mirai.

Questo incremento di potenza degli attacchi è motivato soprattutto da due fattori:

  1. la crescente diffusione dei dispositivi IoT (Internet delle cose), realizzati con funzioni di sicurezza estremamente limitate (per semplificarne al massimo l’installazione e l’utilizzo) e quindi più facili da compromettere rispetto ai sistemi tradizionali. Questi dispositivi finiscono facilmente preda delle botnet e diventano quindi un “esercito” assai potente da mettere in campo… e da offrire a noleggio nel Dark Web!
  2. la disponibilità di queste reti botnet a noleggio: nei black markets del Dark Web si incontrano domanda e offerta. Da una parte c’è chi ha il controllo della botnet, dall’altra chi ne vuole utilizzare la potenza di calcolo per scopi quasi mai leciti. Qualcuno l’ha paragonato ad una specie di “noleggio con conducente”, perché in genere chi noleggia la Botnet continua a mantenerne il controllo.

Si realizza in pratica la versione illegale del modello di “Infrastructure as a service”.

I prezzi sono molto vari e dipendono da diversi fattori, in primo luogo dal tipo di botnet: se creata da device IoT costa meno rispetto una botnet di server proprio perché, come già spiegato, i dispositivi IoT sono meno protetti e probabilmente i loro proprietari non si accorgeranno di nulla.

Altri fattori che determinano il prezzo sono il luogo in cui si trova il cliente e la sua capacità di pagamento: attacchi DDoS commissionati da clienti statunitensi saranno pagati di più rispetto ad attacchi analoghi per un committente russo.

Gli attacchi a siti governativi e a siti protetti da sistemi di filtraggio del traffico (realizzati attraverso fornitori terzi in grado di “ammortizzare” e sviare il peso dell’attacco, quali i CDN, Content Delivery Network) risultano molto costosi, in quanto più rischiosi e più complicati da realizzare.

Per esempio, il costo di un attacco a un sito non protetto varia dai 50 ai 100 dollari, mentre un attacco a un sito protetto costa dai 400 dollari in su.

In generale, il costo di un attacco DDoS può variare dalla cifra – molto modesta – di 5 dollari per un attacco di soli 5 minuti, ai 400 dollari per un attacco di 24 ore. Il costo medio è sui 25 dollari l’ora. Queste quotazioni seguono le fluttuazioni del mercato, ma fintanto che gli attaccanti avranno a disposizione tanti dispositivi facilmente violabili (come quelli IoT), i prezzi saranno popolari e quindi alla portata di tanti malintenzionati.

Inoltre, molti gestori dei servizi DDoS propongono alla propria clientela piani tariffari differenziati in base ai quali l’acquirente paga l’affitto della botnet solo per il tempo di effettivo utilizzo.

Il listino prezzi di un servizio di attacchi DDoS pronti all’uso.

Crediamo che il mercato del DDoS as a Service sia destinato a crescere ancora: i prezzi di noleggio sono convenienti per l’attaccante che con una spesa ridotta può ottenere profitti interessanti.

Consideriamo, per esempio, ad un attacco di DDoS a scopo di estorsione: la vittima, di fronte alla minaccia di vedere il proprio sito bloccato ed inutilizzabile per ore potrebbe perdere somme di denaro ben superiori a quelle richieste dall’attaccante e quindi sarà indotta a pagare il riscatto perché il DDoS non si ripeta.

Altre varianti del Crime as a service

Abbiamo visto due delle modalità più diffuse nel Crime as a Service, ma in realtà chiunque disponga di reti di computer (botnet) le può affittare per fornire una vasta gamma di servizi illegali.

Abbiamo così la variante del Phishing as a service (PhaaS), che viene offerta da una delle piattaforme di più recente comparsa: Hackshit, un servizio CaaS scoperto dai ricercatori di Netskope Threat Research Labs e che offre a basso costo “una soluzione di automatizzata per i truffatori principianti”.

Permette a chi si registra di costruire una pagina di phishing personalizzata per parecchi servizi come ad esempio Yahoo, Facebook e Gmail.

Un altro caso è Ovidiy Stealer: si tratta di un malware commercializzato nei forum di lingua russa ad un costo di circa 7 dollari, da utilizzare per eseguire furto di credenziali principalmente nei browser Web, tra cui Google Chrome, Opera, FileZilla, Amigo, Kometa, Torch e Orbitum, ma gli acquirenti possono acquistare una versione che funziona solo su un singolo browser.

Questo Ovidiy Stealer è il perfetto esempio di un prodotto leggero, facile da usare ed efficace, che viene aggiornato frequentemente e quindi in grado di poter diventare una minaccia molto diffusa.

Un prodotto che rappresenta bene il modo con cui il mercato del Crime as a service si evolve, in modo agile ed innovativo. Questo rappresenta l’ennesima minaccia contro la quale si devono confrontare le organizzazioni per proteggere i propri dati e i propri utenti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5