Tecnologia

Come funziona l’industria del ransomware fai-da-te

sicurezza

Come funziona l’industria del ransomware fai-da-te

Più del 90%dei malware va a infettare meno di dieci macchine. Se lo chiedete a un esperto di sicurezza ve lo confermerà subito. I file eseguibili che attaccano il pc nascono e muoiono in un battito di ciglia, hanno un ciclo di vita brevissimo. Se si clicca due volte a distanza di trenta secondi sullo stesso link malevolo può capitare di scaricare una variante diversa dello stesso malware.

Dietro questa industria dell’”ecodiversità” estrema del virus c’è in realtà una catena di montaggio molto specializzata e diffusa. Come conferma Gastone Nencini, numero uno di Trend Micro Italia, «non bisogna essere un esperto di sicurezza o un ingegnere per mettere le mani su script (codici ndr) di virus. Questi strumenti si trovano piuttosto facilmente nel Deep Web cioè nella parte di internet non accessibile dai normali motori di ricerca come Google; e con poche centinaia di dollari».

Il processo oggi si è però ulteriormente ingegnerizzato. «Non molto tempo fa - racconta - alcune organizzazioni oltre a scrivere il malware garantivano che in caso di intercettazione e quindi di riconoscimento la possibilità di ricevere una variante nuova». Come dire, se ti beccano subito, compreso nel prezzo, ne produciamo al volo uno nuovo.

Con questa logica di servizio funziona il Raas o ransomware-as-a-service. I virus del riscatto (o si paga o addio ai file del computer) possono essere acquistati, distribuiti come un servizio informatico on demand. Come spiega Carola Frediani nel suo ultimo libro «Guerre di Rete» (Laterza), il sistema funziona come un franchising, si affitta l’infrastruttura e si dividono gli introiti.

Per capire meglio: per lanciare un attacco ransomware sostanzialmente serve il software malevole. Come funziona? Dopo aver infettato un pc, limita l’accesso ad alcune sue parti chiedendo un riscatto al suo proprietario. Serve quindi un server per controllare come sta andando l’epidemia e se pagano i computer infettati. E un sistema di distribuzione del virus che di solito avviene attraverso finte mail con allegati malevoli o link che rimandano a siti che ti infettano. Infine, serve un conto in Bitcoin, anzi uno per ciascuna vittima in modo da, una volta ricevuto il riscatto inviare la chiave per decriptare o meglio liberare il computer. Con il Raas, l’utente non si deve più preoccupare di avere attrezzature informatiche. Tutto quello che gli serve è una lista di bersagli, cioè i clienti. Ci pensa il titolare del franchising rifornire il prodotto trattenendo da ogni pagamento andato a buon fine una quota in bitcoin.

Se il Raas rende il cybercrime accessibile a chiunque, chi invece ama il fai-da-te trova tutto o quasi in Rete.

Nella demo che mi è stata mostrata nella sede di Trend Micro per simulare l’attacco di Heartbleed, una falla della sicurezza del software di cifratura OpenSSL che nel 2014 ha causato danni incalcolabili, è stata utilizzata come piattaforma di distribuzione una macchina Kali Linux, ovvero una piattaforma con all’interno una serie di tool usati per verificare la vulnerabilità di un sistema. Viene usata per fare dei test ma può essere usata anche per altri scopi. Come mi spiegano gli esperti della multinazionale giapponese questi strumenti non sono malevoli ma contengono tool che possono essere usati per scopi criminali. Anzi, volendo semplificare, basta un Mac con un compilatore Python (un linguaggio di programmazione) per lanciare un attacco.

Nella nuova industria del malware i costi di distribuzione e produzione da tempo sono ormai crollati. Il vero valore è lo script, il prodotto, il malware e l’intelligence sulle vulnerabilità. «Come insegna il caso di WannaCry - commenta Nencini - l’intelligence e chi dovrebbe proteggerci rende lo scenario della cyberguerra ancora più complicato. Il codice di WannaCry pare essere stato potenziato con strumenti sottratti a all’intelligence americana. Lo stesso è avvenuto con Stuxnet, il virus che ha colpito la centrale nucleare iraniana. Una volta che si è diffuso chiunque può riutilizzarlo e crearne una variante più pericolosa».

© Riproduzione riservata