I Ransomware diventano un Business

Nel deep-web esiste una piattaforma denominata Janus Cybercrime attraverso la quale i cybercriminali possono “vendere” i propri ransomware , un vero e proprio marketing già utilizzato con precedenti ransomware come Misha e Petya, con elenco dei vantaggi, prezzario e percentuali di guadagno.

ransomware marketing


La strategia si consolida e ripete

E’ in circolazione un nuovo ransomware, denominato STAMPADO. Critpa i file con estensione .locked e non ha nessuna grossa differenza di funzionamento rispetto al Cryptolocker. Non presenta cioè, tecnicamente, nessuna novità rilevante. La novità rilevante è che Stampado viene venduto in Internet esattamente con un qualsiasi servizio. E’ ciò che è stato definito RaaS (Ransomware as a Service). Una licenza a vita di utilizzo del ransomware costa 39 euro, un prezzo tra l’altro assolutamente concorrenziale, perché molto basso rispetto agli altri, nel mercato dei ransomware, segno che dietro a Stampado c’è una vera e propria strategia di lancio, come fosse un nuovo prodotto qualsiasi.

Ransomware as a Service

Il meccanismo è a grandi linee questo: un gruppo di cybercriminali (o un singolo) decide di sviluppare e distribuire un ransomware. Viene approntata una piattaforma nel deep-web dove si ospita il ransomware, un servizio di pagamento per lo stesso, la pubblicità e ormai sempre più spesso un servizio di assistenza sui malfunzionamenti/problemi di utilizzo e diffusione del ransomware.
I ransomware venduti sono “modelli base”: l’utente che lo acquista può personalizzarne solitamente nome, costo del riscatto, grafica e testo del riscatto, più raramente il funzionamento.
I programmatori dei ransomware infatti provvedono anche alla creazione di una piattaforma di personalizzazione e gestione del ransomware intuitiva per l’utente.
L’utente che acquista e diffonde il ransomware è tenuto a versare una percentuale dei guadagni ottenuti dai riscatti ai programmatori originali del ransomware. Nulla vieta all’utente di rivendere poi il ransomware personalizzato, diventando anch’esso un punto di distribuzione del ransonmware e magari chiedendo a sua volta una percentuale, ci sono quindi tutte le condizioni per sviluppare un vero e proprio meccanismo di franchising.

Alcuni esempi

Oltre a Stampado e Petya/Misha sono RaaS anche molti altri ransomware, segno che il fenomeno è ormai in forte crescita.Giusto un paio di esempi:

1. ORX Locker

Il ransomware ORX è acquistabile nel deep web ed è facilmente personalizzabile. Cripta i file in .LOCKED ed ha funzionamento simile ad altri ransomware come CTB Locker o Cryptolocker. L’utente che vuole comperare il ransomware, paga i cyber-criminali e riceve un file .zip che contiene a sua volta il .exe del ransomware. A questo punto è a cura dell’utente la diffusione del ransomware. I programmatori hanno fissato un minimo di riscatto di 75 dollari e non esiste massimale: la quota da versare agli sviluppatori è del 20%.

Nell’immagine la piattaforma di personalizzazione del ransomware ORX Locker

2

ORX è stato pubblicizzato nel web, in vari forum, dall’utente “orxteam”: nell’immagine uno dei numerosi messaggi

3

Nel testo si legge:

“Ciao a tutti, siamo il team ORX e siamo sempre stati attivi su vari forum, ma siamo nuovi su questo. Siamo felici di ringraziare e ricambiare la community rendendo pubblico il nostro servizio privato. Dopo un anno ricco di successi grazie al nostro software privato di criptazione, abbiamo ora deciso di diffonderlo al pubblico. Abbiamo lavorato sodo per garantirvi una opzione migliore rispetto agli altri servizi di criptazione, implementando una efficace procedura di criptazione e escludendo alcuni dei maggiori difetti di decriptazione che hanno invece altri tipi di servizio. 
Vi metteremo in condizione di avere a disposizione tutto ciò che vi occorre per fare soldi facili e veloci in pochi minuti. Fai registrare altri utenti usando il tuo username come riferimento e guadagnerai automaticamente il 3% di ogni riscatto che riceveranno. “

2. Ransom32

Il ransomware “Ransom32” ha come peculiarità quello di essere uno tra i primi ransomware a essere scritti interamente in Javascript. E’ acquistabile nel deep web: tutto quello che occorre è un indirizzo Bitcoin per effettuare e ricevere pagamenti non tracciabili. I programmatori del ransomware richiedono una percentuale del 25% su ogni riscatto ottenuto. Bisogna registrarsi alla piattaforma di vendita e, una volta ottenuta registrazione e attivazione, si accede alla console di affiliazione, dove è possibile personalizzare il ransomware stabilendo la quota di riscatto, se abilitare o meno la funzione di blocco del sistema, il momento in cui verrà visualizzato dalla vittima il messaggio di riscatto ecc..
Una volta personalizzato il ransomware si accede alla schermata di download che permette di scaricare il .exe: da quel momento è a cura dell’acquirente la diffusione del ransomware secondo i mezzi che ritiene più idonei.

Nell’immagine, il pannello di personalizzazione del ransomware, accessibile dalla console di affiliazione

4

INVIA MESSAGGIO