La nuova frontiera degli illeciti digitali è alle porte.
L’industria digitale sta andando verso la vendita di servizi. Se prima acquistavamo la licenza di utilizzo di un qualsiasi software, adesso la stessa ci viene venduta sottoforma di un abbonamento da sottoscrivere mensilmente/annualmente.

Tuttavia, così come le grandi aziende e le corporazioni mondiali hanno abbracciato appieno questo modello, lo stesso sta avvenendo nei meandri del Dark Web, dove collettivi di cybercriminali prestano i loro servizi a terzi privi delle conoscenze necessarie per condurre attacchi complessi.

cybercrime as a service
  1. Analisi del Cybercrime-as-a-service (CaaS)
  2. Alcuni esempi di Cybercrime-as-a-service
  3. Phishing
  4. Kit exploit
  5. Attacchi DDoS
  6. Ransomware-as-a-service
  7. Ovidy Stealer

Analisi del Cybercrime-as-a-service (CaaS)

Messo in luce per la prima volta dall’Europol nel dicembre 2020, il cybercrime-as-a-service rappresenta un’evoluzione diretta dei ben noti malware-as-a-service e ransomware-as-a-service. Se per gli ultimi due il servizio in vendita è un software malevolo, con questo nuovo modello è l’intero collettivo, o un singolo professionista, a mettersi a disposizione per commettere un illecito digitale.

In base alle indagini condotte sia dagli esperti di cybersecurity, che dall’Europol stessa, emerge un quadro a dir poco preoccupante.
In seguito ai lockdown causati dalla pandemia di Covid-19, gli illeciti sono aumentati a dismisura e lo stesso vale per i ricavi provenienti da queste attività. Questi ultimi hanno fatto gola a più di qualcuno meno esperto, ma estremamente interessato ad un guadagno rapido ed immediato.

Ciò ha portato all’abbracciare il nuovo modello di business da parte di esperti del settore criminale, che hanno realizzato veri e propri tool pronti all’uso da rivendere ad altri criminali inesperti, o a specialisti in altri ambiti.
Il Cybercrime-as-a-service si è rivelato molto remunerativo, con ricavi derivanti dalla percentuale di vendita del servizio non molto distante da quanto si ottiene normalmente con un ransomware.

È bene distinguere che anche in questo ambito esistono diverse tipologie di esperti.
I primi a farne parte sono gli specialisti, creatori di:

  • exploit kit
  • ransomware
  • reti botnet.

Tutti servizi malevoli a noleggio. A loro si aggiungono gli esperti marketing, che si occupano di commercializzare i prodotti e attirare potenziali “clienti”. Questi ultimi possono essere anche utenti semplici, non necessariamente criminali.

Il Cybercrime-as-a-service ha due facce molto preoccupanti, in quanto da una parte non solo contribuisce ad ampliare il bacino di utenza di cybergang e cybercriminali già ampiamente affermati sulla scena e dall’altra semplifica notevolmente l’accesso ai meno esperti.

Alcuni esempi di Cybercrime-as-a-service

Fatta la doverosa introduzione nel paragrafo precedente, è il momento di osservare più da vicino le categorie di servizi che rientrano nell’insieme delle modalità maggiormente diffuse e remunerative del Cybercrime-as-a-service.

Phishing

Il phishing resta ancora oggi una delle principali metodologie adottate per condurre un attacco informatico contro un’organizzazione, un ente, o un soggetto singolo. Un esperto del settore è in grado di condurre vere campagne di ingegneria sociale per studiare il bersaglio e mettere a punto un sistema di phishing subdolo ed estremamente efficace.

Tuttavia, un neofita, o qualcuno privo di tali competenze, può affidarsi a kit preconfezionati messi in vendita sul dark web.
Alcuni di questi vengono venduti per cifre irrisorie, addirittura per 2 dollari ad utilizzo e con ciò facilitano notevolmente la conduzione di un attacco verso un bersaglio importante.

A questi si aggiungono delle vere e proprie piattaforme dedicate al phishing, in cui l’utente che sottoscrive l’abbonamento non deve fare altro che indicare il bersaglio e le principali occupazioni di un soggetto associato, che questa inizierà aa condurre campagne di phishing aggressive ed efficaci.
Tutto grazie all’implementazione di tecniche avanzate e svariati livelli di automazione.

Kit exploit

Un kit exploit è un pacchetto preconfezionato, che permette al suo utilizzatore di individuare vulnerabilità in un sistema bersaglio, routine automatizzate per exploit e alcuni malware adatti allo scopo. Il più diffuso e apprezzato è RIG, attualmente in vendita sul dark web con un abbonamento settimanale di 150 dollari.

Il principale obiettivo del kit sono le piattaforme web e web application basate su Flash, o che ancora usano alcuni dei suoi plugin.
Sebbene sia stato dismesso da Adobe dal 31 dicembre 2020, molti servizi web ancora impiegano questa tecnologia per una questione di retrocompatibilità e per i ritardi accumulati da Apache per il rilascio della sua versione del framework erede.

Ciò ha reso RIG particolarmente appetibile e gettonato, a tal punto che si tratta di uno dei prodotti di maggior successo della scena cybercrime.

Attacchi DDoS

Un attacco DDoS (Distributed Denial of Service) è una tipologia di attacco che prevede il blocco del normale traffico di rete di un server, di un servizio o di un’infrastruttura di rete. In questo modo la vittima designata viene travolta da un sovraccarico di rete non indifferente, che porta ad un blocco temporaneo della stessa.

Se solitamente questo viene condotto sfruttando botnet create ad hoc, in modo da prendere di mira il livello applicativo, adesso anche chi non comprende appieno il modello ISO/OSI può effettuarne uno.

Esistono infatti dei servizi on demand che richiedono pochi passaggi e tempi quasi istantanei fra richiesta e attacco. Questi non solo risultano estremamente accessibili, ma anche molti economici. Infatti, i prezzi si aggirano sui 5 dollari al mese per un attacco di breve durata, che salgono a 60 per attacchi duraturi.

Ransomware-as-a-service

Senza dubbio il servizio prediletto per condurre attacchi con il fine della doppia estorsione. Del servizio Ransomware-as-a-service ne abbiamo parlato molte volte su questo blog, proprio perché si tratta della principale minaccia attualmente circolante sul web.

Il criminale intenzionato ad estorcere denaro ad un ente, o un’organizzazione di alto profilo, può sottoscrivere un abbonamento per richiedere l’uso di un ransomware molto efficace da impiegare nel suo attacco. Questo perché progettare, testare e rilasciare un virus del genere richiede molto tempo e grandi conoscenze tecniche.

Una piattaforma molto popolare dedicata alla distribuzione di questi servizi, è RaaSberry, la quale fornisce pacchetti preconfezionati che includono le istruzioni d’uso e il ransomware adatto alle proprie esigenze. La piattaforma offre anche soluzioni di monitoraggio per le varie campagne ransomware in corso.
Tra i dati mostrati figurano:

  • Il numero di vittime infettate
  • Il numero di acquirenti paganti
  • Guadagno totale della campagna in osservazione

In genere i Ransomware-as-a-service possiedono prezzi molto variabili a secondo della loro efficacia e delle features integrate nel loro codice. I più complessi e sofisticati raggiungono spesso e volentieri i 1500 dollari al mese, a cui si aggiunge la percentuale sul riscatto da corrispondere ai creatori.

Esempi noti di Ransomware-as-a-service includono:

Ovidy Stealer

Si tratta di un malware che esegue furti di credenziali utenti sfruttando le falle di determinati browser web, tra cui si citano: Google Chrome, Opera GX, FileZilla, Amigo, Kometa e Orbitum. Questo è estremamente diffuso nei forum russi e costa appena 7 dollari.

Ovidy Stealer rappresenta di fatto un progetto leggero, facilmente usabile e molto efficace. I suoi acquirenti non devono nemmeno preoccuparsi di effettuare delle modifiche, in quanto viene costantemente aggiornato dai suoi creatori, essendo un malware-as-a-service.

In conclusione

Il Cybercrime-as-a-service è in rapida ascesa e come tale si ha la necessità di dover adottare tutte le principali misure cautelari per proteggersi. La prima di queste è la collaborazione reciproca con un team di cybersecurity di professionisti, in modo da individuare in anticipo possibili minacce nella propria organizzazione.

Ormai le tecnologie sono divenute molto più accessibili a tutti e chiunque in possesso delle giuste conoscenze può sfruttarle a proprio vantaggio per creare un proprio servizio da rivendere a terzi. Questo anche grazie alla recente ascesa dell’intelligenza artificiale, che semplifica e accelera notevolmente il processo di sviluppo dietro un qualsiasi servizio, sia esso lecito, o illecito.

L’obiettivo finale, lo smantellamento delle reti criminali, rappresenta uno sforzo titanico, ma è reso possibile solo se c’è collaborazione reciproca e un processo di sensibilizzazione verso la sicurezza informatica, al cui centro c’è sempre l’utente finale.

Mai abbassare la guardia e mai sottovalutare il nostro avversario.