Il dark web, ovvero la parte oscura del web, da sempre rappresenta un elemento privilegiato di aggregazione per organizzazioni dedite al crimine informatico ed hacker. Da diversi anni stiamo assistendo alla nascita di nuovi modelli di business che trovano nei diversi black marketplace online un luogo in cui domanda ed offerta di prodotti e servizi illegali si incontrano. Nei cosiddetti black marker è davvero semplice trovare droga, documenti falsi, e purtroppo siti specializzati nella vendita di materiale pedopornografico.
Dagli abissi del web vediamo apparire quotidianamente nuovi servizi criminali che sfruttano le condizioni di pseudo anonimato offerte dalle darknet, Assoldare un hacker, comprare un codice malevolo oppure le credenziali di accesso di servizi web è alla portata di tutti. Non solo, negli ultimi mesi stiamo osservando la nascita di vere e proprie piattaforme online, cosiddette malware-as-a-service platform, che consentono anche ad utenti poco esperti di creare codici malevoli e di gestire le campagne per la loro distribuzione. Cse Cybsec Enterprise ha rilasciato un report che spiega questo fenomeno.
“I ransomware sono i codici malevoli che oggi destano maggiore preoccupazione per la loro rapida diffusione nell’ecosistema criminale, rappresentano l’essenza del modello estorsivo applicato crimine informatico- spiega Pierluigi Paganini, Chief Technology Officer della società – Un ransomware è un codice malevolo che “prende in ostaggio” il dispositivo della vittima impedendone di fatto l’accesso alle risorse. Nella quasi totalità dei casi i file sono cifrati rendendone impossibile l’accesso, solo dopo il pagamento di un riscatto le vittime possono ricevere le chiavi per decifrare i file”. Per lo sviluppo di un ransomware sono ovviamente necessarie particolari competenze, dalla conoscenza della programmazione alle vulnerabilità nei principali software che possono essere utilizzate per compromettere i sistemi delle vittime.
“Tali competenze sono merce preziosa, dall’unione tra il nuovo paradigma informatico ‘Everything-as-a-Service’ e la minaccia ransomware, nasce il concetto di ‘Ransomware-as-a-Service’ (RaaS) – prosegue l’esperto – Nell’underground criminale stanno proliferando piattaforme RaaS che permettono a chiunque di creare il proprio ransomware con pochi click. Questi servizi hanno portato alla nascita di un mercato in cui trae vantaggio economico sia chi crea la minaccia digitale, sia chi la acquista e la diffonde. In molti casi è ancora possibile contattare uno dei servizi di hacking già menzionati, i cosiddetti servizi di ‘Rent-a-Hacker’, per commissionare la creazione di un ransomware secondo le specifiche fornite dall’utente”.
Molti siti nel dark web offrono lo sviluppo e la personalizzazione di ransomware, ma la vera innovazione è rappresentata dalle numerose piattaforme RaaS che si trivano nel dark web, ognuna di esse con caratteristiche specifiche. Una delle più popolari piattaforme di Ransomware-a-as.Service è oggi RaaSberry. Grafica semplice ed estremamente semplicità di utilizzo, questi sono i requisiti di queste principali piattaforme, e RaaSberry li implementa entrambi. Dopo aver effettuato una registrazione al sito, è possibile acquistare un nuovo “package” che include il ransomware e l’accesso alla piattaforma per un certo periodo di tempo.
La piattaforma consente il controllo di tutte le attività relative alla diffusione del ransomware, un singolo pannello di controllo mostra in tempo reale il numero di utenti infettati, il numero di ransomware che l’utente ha messo in circolazione e l’ammontare di denaro accumulato fino a quel momento grazie al pagamento dei riscatti da parte delle vittime.
L’utente che vuole utilizzare il servizio deve solo preoccuparsi di effettuare una registrazione al servizio e di diffondere il ransomware. Non è difficile utilizzarlo.
“Molti servizi nel dark web consentono di diffondere malware mediante campagne di spam che sono organizzate ad hoc per i clienti più esigenti – dice Paganini – Continuando il nostro rapido giro alla ricerca delle principali darknet ci imbattiamo in una piattaforma che ha dato vita a Datakeeper, uno dei ransomware più diffusi nell’ultimo periodo. Questa piattaforma offre maggiori funzionalità ai propri utenti rispetto alla concorrenza, permettendo la personalizzazione del malware”. Attraverso l’interfaccia grafica si possono specificare le tipologie di file che si vuole che il ransomware cifri, si può aggiungere la funzionalità che consente di cifrare anche file condivisi in rete e si può decidere l’ammontare in Bitcoin che la vittima dovrà pagare come riscatto per decifrare i propri file. Completata la configurazione, il malware può essere scaricato in modo totalmente gratuito dal sito ma. Da questo momento, ogni volta che una vittima pagherà il riscatto, i gestori della piattaforma manterranno per se una percentuale dell’ammontare.
“Come più volte sottolineato, il modello Ransomware-as-a-Service continua a riscuotere grande successo ed un numero crescente di attori nel dark web li utilizza per creare i propri ransomware – conclude il manager – Per questo motivo assistamo con disarmante frequenza alla diffusione di nuove minacce ed alla nascita di nuove piattaforme in grado di soddisfare ogni esigenza”.