Gli affari vanno a gonfie vele nel “settore” dei Ransomware-as-a-Service. Non si avverte alcun segno di rallentamento e non se ne vedrebbe nemmeno il motivo. Per ora lo governa un oliato meccanismo di collaborazione “win-win” che porta lauti guadagni a tutti. A tutti tranne che alle vittime.
Guadagni che sfiorano il 90% dei riscatti
A mettere nero su bianco, in numeri, questa realtà sono stati i ricercatori della società di cybersicurezza Group-IB. Infiltrandosi nella banda di Qilin a marzo, hanno potuto analizzare il sistema “da dentro”, per raccontarlo in un report che spazia dal funzionamento interno fino al business model adottato.
Ciò che salta all’occhio subito è che gli affiliati che aiutano a diffondere il codice maligno guadagnano davvero molti soldi. A quanto registrato sul campo, possono incassare l’80% del riscatto pagato, se è di massimo 3 milioni di dollari. Se li supera, la quota di un affiliato può salire all’85%.
Non si tratterebbe di un’eccezione sul mercato, anche in altri gruppi il guadagno si aggira tra l’80 e il 90% del ricavato, percentuali in crescita rispetto al 65-75% degli anni precedenti.
Con questo tipo di ritorni, è naturale che il mercato non dia cenni di cedimento. Domanda e offerta non mancano e il mondo sotterraneo della criminalità informatica prospera, sfruttando i punti deboli delle imprese globali.
La logica con cui funziona è invidiabile, il modello as-a-service permette agli “utenti” di concentrarsi sulla ricerca di vittime e di selezionare le più fruttuose con una crescente abilità. Già nel 2020 quasi due terzi degli attacchi ransomware analizzati hanno coinvolto organizzazioni con modelli RaaS e questo trend sembra destinato a proseguire.
A beneficiare degli alti guadagni da affiliati sono spesso organizzazioni con oltre 100 dipendenti, racconta il report, tra cui sviluppatori, manager, negoziatori e altro personale. Vere e proprie “aziende criminali” che pagano da decine a migliaia di dollari per i kit RaaS, senza fare una piega. Non ce n’è ragione, facendo bene i conti, visto che la richiesta media di riscatto già nel 2021 era di 6 milioni di dollari, secondo CrowdStrike. Oltretutto non beneficiano solo del kit ma anche di un’ampia gamma di servizi per portare a termine i propri attacchi.
Gli affiliati che utilizzano questo tipo di portale, infatti, accedono a un pannello amministrativo per la gestione degli attacchi che include una dashboard completa, dagli obiettivi ai pagamenti, dalla modifica delle password a blog e FAQ. Un livello di efficienza che non sempre si incontra negli altri settori.
Più modelli di business e reclame sul darkweb
Sempre secondo il report, gli affari vanno a gonfie vele anche perché non si genera business affidandosi a un solo modello di guadagno. Quelli che circolano nel mondo del RaaS spaziano dagli abbonamenti mensili a tariffa fissa, ai canoni di licenza una tantum senza condivisione dei profitti oppure alla condivisione pura dei profitti.
Qualsiasi sia la strada scelta dagli affiliati, il loro numero è in aumento grazie a un’offerta di attacchi ready to use che produce un concreto e reale abbassamento della barriera di ingresso. In questo modo anche chi ha poca esperienza di codifica riesce a distribuire il malware. Se ha fiuto nello scegliere la vittima, può guadagnare anche molto bene.
Di fronte a questo fiorente mercato criminale, le organizzazioni non possono che domandarsi quando toccherà loro subire un’estorsione. Possono sperare che non sia di quelle doppie, come oggi va maggiormente “di moda”. Il punto di accesso di solito sono poi gli schemi di phishing, perché consentono di muoversi lateralmente attraverso le reti delle vittime alla ricerca di dati.
Mentre i vari gruppi di RaaS si fanno concorrenza, pubblicizzando il proprio malware sul dark web, i governi stanno ancora domandandosi se vietare il pagamento di riscatti oppure no. Per ora ci si limita a sconsigliarlo a parole, temendo che un ufficiale divieto possa portare le vittime a non denunciare alcun attacco. Un gesto che non farebbe che rafforzare un mercato già molto potente e promettente.
