La logica industriale del mercato cybercrime

mauro cicognini_clusit

Il mondo criminale ha scoperto Internet. In realtà, l’ha scoperta da tempo, ma da un paio d’anni ha iniziato a sfruttare pesantemente l’ubiquità della tecnologia, dell’informatica e delle reti di comunicazione

Un criminale cerca continuamente modi nuovi per procurarsi denaro e potere, e non esita a utilizzare qualsiasi mezzo o idea. A fronte di questa spregiudicatezza, ci culliamo spesso nell’illusione che i criminali siano persone di bassa levatura mentale e morale. Al contrario, purtroppo, i criminali “di successo” sono persone assai intelligenti e determinate, che spesso riescono a eseguire i propri piani con altissima efficacia e incredibile precisione, e la loro totale mancanza di scrupoli li aiuta a raggiungere il loro obiettivo. Non esitano ad adottare le idee dell’economia “legale” che si sono dimostrate efficaci, come, per esempio, l’organizzazione in strutture complesse: il crimine è diventato assai più pericoloso negli ultimi decenni proprio perché organizzato. Nell’economia criminale esiste un ecosistema di clienti e fornitori specializzati e organizzati in filiere. Ciò porta a una maggiore efficienza e una riduzione dei costi, così da poter avere come target il mass market. Basta trovare il “prodotto” giusto: e questo oggi è il ransomware, indubbiamente la cash cow del settore. Le difese della vittima tipica sono assai basse e quindi risulta in genere assai facile da sfruttare. Purché il riscatto sia ragionevole, la vittima molto spesso preferisce pagare invece di perdere i dati, o anche solo il tempo necessario per ripristinare i backup. Naturalmente, il “fornitore” del malware deve dimostrarsi affidabile, perché se si sparge la voce che pagare il riscatto non serve, tutto il sistema crolla: paradossalmente, chi distribuisce il malware deve agire in modo professionale come se fosse un fornitore di servizi.

Leggi anche:  Perché il Dark Web non rappresenta più solo una minaccia

Un tempo, questo “fornitore” coincideva con il programmatore malevolo che aveva scritto il malware. Oggi, esistono invece aziende criminali che forniscono “malware kit” generici, pronti per essere personalizzati e distribuiti, e insieme aiutano a decidere quanto chiedere di riscatto (meglio non essere troppo avidi, altrimenti il ritorno d’investimento diminuisce). Per delinquere non serve più essere abbastanza esperti da scrivere un malware: basta saperlo usare, e ciò aumenta in modo incredibile la platea dei potenziali malfattori. I malware “base” sono in vendita per poche centinaia di dollari su siti di e-commerce che non hanno nulla da invidiare a quelli legali (anche se le transazioni tendono a essere in bitcoin per ovvi motivi). E c’è anche la pubblicità. Con un investimento limitato si può avere a disposizione un malware pronto all’uso. Il secondo passo è quello di portarlo sui computer delle vittime, e per farlo oggi esistono delle reti di distribuzione già pronte, che naturalmente si possono affittare in base al tempo di utilizzo.

Utilizzano degli “exploit kit” che sfruttano alcune vulnerabilità ben note dei sistemi operativi e dei programmi più comuni, e sono in grado di recapitare in breve tempo il malware su decine o centinaia di migliaia di computer (i cui ignari proprietari non sono riusciti a stare al passo degli aggiornamenti di sicurezza). Questi siti hanno un customer service post-vendita, e forniscono dei “cruscotti” di controllo che danno in tempo reale le statistiche sul servizio: quanti sono stati infettati, quanti hanno risposto alla richiesta di riscatto, quanti hanno pagato, per finire con le statistiche di ritorno sull’investimento. Nulla di personale, quindi… sono attacchi a pioggia: come la pioggia, ci bagnano se non ci siamo preparati con l’ombrello. Ci troviamo di fronte a un mondo industrializzato, dove la scala del problema è enorme; non si può più pensare agli attacchi alla sicurezza come a qualcosa che capita solo agli altri. Naturalmente, prima o poi, si troverà per il ransomware un rimedio o una prevenzione efficace. Tuttavia, di sicuro, la fantasia non fa difetto a chi ci attacca. Il crimine informatico industrializzato è fra di noi, e non se ne andrà tanto facilmente.

Leggi anche:  Il monito di Mikko Hypponen, F-Secure: “Oggetti IoT come l’amianto”

Mauro Cicognini, Direttivo e comitato Tecnico Scientifico Clusit