Malware a noleggio
l’ultima frontiera dei servizi di hacking
In un periodo così delicato come quello in cui ci troviamo, tra guerre e pandemie, non dobbiamo mai dimenticare che i pericoli ci sono anche e soprattutto online. In altri articoli presenti sul nostro blog abbiamo potuto constatare che cos’è un malware ovvero, un programma malevolo che viene creato e distribuito dagli hacker (o più correttamente cracker).
Pensavamo di averle viste tutte, eppure, ecco una novità assoluta nel mondo online: i malintenzionati hanno iniziato a mettere in vendita la creazione di virus e malware già pronti pronti per essere utilizzati in modo semplice e veloce.
Viene definito anche MaaS o malware as a service e indica esattamente il fenomeno di vendita o meglio, noleggio di software e hardware per l’esecuzione di cyber attack.
Quasi sempre, l’accesso a questi servizi avviene tramite pagamento a una botnet che distribuisce malware.
Indice degli argomenti
Rinfreschiamo la memoria ricordandoci cos’è un malware (malicious software): è un programma creato per svolgere attività illecite ai danni di altri utenti. Questi tipi di attività di solito consistono nel furto di informazioni sensibili, nell’accesso a file privati con lo scopo di estorcere denaro o nella possibilità di modificare e cancellare operazioni svolte da un altro dispositivo.
Spesso i malware si presentano sotto forma di virus (Worm, Trojan, Spyware, ecc.); le due categorie più diffuse tra le aziende sono:
Spyware
malware con l’intento di spiare le attività online di un utente e rubare credenziali o altre informazioni sensibili;
Ransomware
malware che limitano o bloccano totalmente l’accesso del dispositivo che infettano, richiedendo di solito un riscatto (ransom appunto in inglese) da pagare per sbloccare file e dispositivi.
I malware sono purtroppo in costante crescita in tutto il mondo, come dimostra il Rapporto Clusit 2022, Associazione Italiana per la Sicurezza Informatica.
Secondo quest’ultimo, nel 2021 a livello mondiale sono stimati danni pari a 4 volte il PIL italiano.
Nello stesso anno sono stati registrati 2.049 cyber attacchi gravi: si tratta di un aumento che sfiora il 10% rispetto all’anno precedente, per una media mensile di 171 attacchi, il valore più elevato mai registrato.
Gli attacchi crescono in quantità e in “qualità”: vediamo allora in cosa consistono i malware a noleggio.
Un giro nel dark web purtroppo fa capire che non servono grandi competenze o tanto denaro per comprare o noleggiare dei malware. Possiamo considerarlo un mercato nero online dove i pagamenti avvengono però con i Bitcoin (una moneta virtuale, detta criptovaluta).
Malware
Possiamo trovare dei malware gratuiti, ma sono più rischiosi da usare. Sono sviluppati di solito da cracker alle prime armi che cercano di farsi conoscere, altre volte invece hanno lo scopo unico di sottrarvi denaro facendo diventare voi stessi le vittime.
Spesso con soli € 50 si possono comprare servizi di hacking avanzati già “pronti”.
Chi paga inoltre può avere accesso anche all’assistenza clienti e agli aggiornamenti, proprio come per qualsiasi altro prodotto o servizio.
Un esempio di malware è il banking trojan Escobar, che ruba i codici di autenticazione delle vittime per colpire istituzioni bancarie, aggirando il doppio fattore di autenticazione a protezione degli account.
Questo malware richiede permessi che gli consentono dunque di:
- catturare le credenziali degli utenti quando interagiscono con siti ed app di banche;
- intercettare i codici di autorizzazione inviati via SMS;
- catturare i codici generati dall’app Google Authenticator.
I Trojan
Con un prezzo irrisorio tra i € 5 ed i € 40 troviamo ad esempio il Trojan di accesso remoto (noto come DCRat o DarkCrystal RAT), che consente all’autore dell’attacco di assumere il controllo del sistema da remoto, installare software, acquisire schermate, accendere e spegnere la webcam e tanto altro.
DCRat include tre strumenti: un file eseguibile che agisce da client, una pagina PHP e una piattaforma di amministrazione.
La parte peggiore è che è sottoposto a manutenzione quotidiana e ciò indica che il suo sviluppatore continua a migliorarlo.
Un altro Trojan famoso è Ermac, che viene “noleggiato” per € 3000 al mese, mentre la sua versione 2.0 costa € 5000 al mese.
Nonostante il prezzo elevato, c’è più di qualcuno che ha deciso di usarlo. È stato creato un sito fittizio di un servizio di consegna a domicilio del cibo, Bolt Food, che inganna gli utenti e fa scaricare loro l’app che contiene Ermac 2.0.
Una volta installata, chiede l’autorizzazione per prendere il controllo del dispositivo e il malware invia i dati al malintenzionato.
I Ransomware
Poi abbiamo i famosi Ransomware, il cui abbonamento va da € 800 per un mese a € 2500 per la sottoscrizione a vita.
Il tutto ricordiamo sempre senza necessità di competenze informatiche, se non quella basilare di accedere al dark web.
Un esempio di Ransomware abbastanza recente è LockBit: innanzitutto il cracker umano rimane all’interno della rete solo per alcune ore, al contrario degli altri che ci rimangono giorni se non settimane.
L’uso di SMB (Server Message Block), tabelle ARP e PowerShell è un modo perfetto per questo tipo di ransomware di infettare la rete, poiché quasi tutti utilizzano questi strumenti ed è difficile rilevarli.
LockBit ha inoltre un altro modo per rimanere invisibile; il file eseguibile scaricato dallo script PowerShell viene mascherato ad esempio da immagine PNG.
Come difendersi dai MaaS
Oltre ovviamente all’affidarsi ad un tecnico specializzato, ci sono delle misure preventive che puoi già prendere in autonomia all’interno della tua azienda:
Aggiornare i software ed il sistema operativo
le nuove versioni hanno sempre delle migliorie, come fix dei bug della sicurezza, che diminuiscono la possibilità di violazione dei programmi;
Utilizzare account con diversi livelli di sicurezza
ad esempio, un account “admin” può installare dei software, mentre un account “standard” non ha questa possibilità.
Quando non devi apportare modifiche, l’ideale sarebbe utilizzare un profilo con meno autorizzazioni possibili.
Questo accorgimento ti aiuta ad impedire che il malware venga installato sul tuo computer e apporti modifiche al sistema;Controlla i link
può sembrare banale, ma è importante sempre accertarsi che i link su cui clicchiamo siano affidabili. A volte è consigliabile uscire cercare prima recensioni o informazioni su siti o app prima di scaricare o installare qualcosa.
I download costituiscono uno dei principali modi in cui i computer si infettano con malware;Non aprire subito gli allegati delle e-mail
devi essere molto attento se un cliente o un’altra azienda ti inviano un’e-mail sospetta contenente allegati o immagini.
A volte queste sono solo spam, altre volte potrebbero contenere malware nascosti;Non cliccare sulle pubblicità pop-up
nel web potresti imbatterti su siti che mostrano finestre pop-up, facendoti credere che il tuo computer è stato infettato e chiedendoti di scaricare dei software per proteggerti. Sono delle trappole, quindi chiudili o ignorali;
Usa un antivirus
quando scarichi un file, prima di aprirlo scansionalo con un antivirus (ce ne sono diversi gratuiti, come Avast o Avg) per verificare che non contenga malware. Inoltre è bene eseguire quotidianamente una scansione dell’intero computer.
Forma il tuo personale
ultima ma non meno importante è la formazione del tuo personale da parte di un esperto, che insegnerà a riconoscere potenziali minacce online.
Conclusioni
Come abbiamo potuto vedere, il mondo online è ricco di insidie.
Dal momento però che esso è integrato pienamente nelle nostre vite, sia nel privato che sul lavoro, non possiamo fare a meno che adeguarci ed imparare come difenderci al meglio dai malintenzionati, proprio come si farebbe con un corso di autodifesa.
Il nostro team di specialisti cybersecurity vanta un’esperienza decennale nel settore della difesa informatica: per questo non esitare e contattaci allo scopo di prevenire danni irreparabili a causa dei malware.
Cyberment ha 3 sedi dalle quali studia con costanza l’evoluzione delle minacce informatiche, tra cui: Milano, Mantova e Londra.
Cyberment Srl
Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.
Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.
Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.
Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!
- Autore articolo
- Gli ultimi articoli
Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.