RC3

Le crypto-impronte dei ransomware

Tra il 2016 e il 2017, i cybercriminali hanno guadagnato oltre 16 milioni di dollari grazie ai ransomware.

Nikolay Pankov
21 Gen 2021

Quanto meglio comprendiamo il modus operandi e il raggio d’azione dei criminali informatici, tanto più efficacemente possiamo combatterli. Nel caso dei ransomware, valutare il successo e la redditività di un particolare gruppo criminale non è di solito un compito facile. I vendor di prodotti di sicurezza di solito vengono a conoscenza di tali attacchi osservando e comunicando con i clienti, il che significa essenzialmente che tendiamo ad analizzare i tentativi che non sono andati a buon fine. Nel frattempo, le vittime dei ransomware tendono a tacere (soprattutto quando hanno pagato).

Di conseguenza, i dati affidabili sugli attacchi riusciti sono scarsi. Tuttavia, al Remote Chaos Communication Congress (RC3) del 2020, un team di ricercatori ha presentato un metodo piuttosto curioso per analizzare le campagne di attacco dei cybercirminali durante tutto il loro svolgimento, basandosi sulle tracce lasciate dalle criptovalute.

Gli analisti delle Università di Princeton, di New York e della California, San Diego, nonché i dipendenti di Google e Chainalysis, hanno condotto lo studio nel 2016 e nel 2017. Sono passati alcuni anni, ma il loro metodo può essere ancora valido.

Il metodo della ricerca

I criminali temono di lasciare tracce sotto forma di denaro, ed è per questo che la criminalità informatica moderna preferisce le criptomonete (i Bitcoin in particolare), che praticamente non sono regolamentate e che garantiscono l’anonimato. Inoltre, le criptovalute sono a disposizione di chiunque e le transazioni effettuate non possono essere annullate.

Tuttavia, esiste un’altra caratteristica rilevante dei Bitcoin: tutte le transazioni Bitcoin sono pubbliche. Ciò significa che è possibile rintracciare i flussi finanziari e intravedere il funzionamento interno dell’economia criminale informatica e la sua portata. Ed è esattamente ciò che hanno fatto questi ricercatori.

Alcuni cybercriminali, anche se non tutti, generano un indirizzo univoco del wallet BTC per ogni vittima, per cui i ricercatori hanno prima raccolto i wallet destinati al pagamento di un riscatto. Hanno trovato alcuni degli indirizzi nei messaggi pubblici sull’infezione (molte vittime hanno pubblicato online degli screenshot del messaggio di riscatto) e ne hanno ottenuti altri eseguendo il ransomware sulle macchine di prova.

Successivamente, i ricercatori hanno tracciato il percorso della criptovaluta dopo il trasferimento sul wallet, il che in alcuni casi ha richiesto la realizzazione di micropagamenti in Bitcoin. La possibilità di Bitcoin di effettuare il cospending, che prevede il trasferimento di fondi da diversi wallet a uno solo, ha permesso ai criminali informatici di aumentare i pagamenti ottenuti da diverse vittime. Ma una tale operazione richiede che la mente organizzatrice abbia le chiavi di più portafogli. Di conseguenza, la rintracciabilità di tali operazioni consente di ampliare l’elenco delle vittime e di trovare contemporaneamente l’indirizzo del wallet centrale dove vengono trasferiti i fondi.

Dopo aver studiato i flussi finanziari attraverso i wallet per un periodo di due anni, i ricercatori si sono fatti un’idea delle entrate dei criminali informatici e dei metodi utilizzati per riciclare i fondi.

I risultati

La scoperta chiave dei ricercatori è stata che, nell’arco di due anni, 19.750 vittime hanno trasferito circa 16 milioni di dollari ai creatori dei cinque tipi di ransomware più comuni. Certo, la cifra non è del tutto accurata (è improbabile che siano riusciti a rintracciare tutte le transazioni) ma fornisce una stima approssimativa della portata dell’attività cybercriminale di qualche anno fa.

È interessante notare che circa il 90% delle entrate proveniva dalle famiglie Locky e Cerber (le due minacce ransomware più attive all’epoca). Inoltre, il famigerato WannaCry ha raccolto non più di centomila dollari (anche se molti esperti classificano il malware più come wiper che come ransomware).

Stima delle entrate dei creatori dei ransomware più diffusi tra il 2016 e il 2017.

Di gran lunga più interessante è stato capire come queste entrate sono finite nelle mani dei criminali informatici e a quanto ammontavano. Per fare ciò, i ricercatori hanno utilizzato lo stesso metodo di analisi delle transazioni per vedere quali tra i wallet dei cybercriminali sono emersi in transazioni congiunte che coinvolgevano i wallet appartenenti a noti di servizi di exchange online di criptovalute. Non tutti i fondi possono essere rintracciati in questo modo, naturalmente, ma questo metodo ha permesso ai ricercatori di capire che i criminali informatici ritiravano il denaro soprattutto tramite BTC-e.com e BitMixer.io (le autorità hanno chiuso entrambi gli exchange per, indovinate un po’, riciclaggio di fondi illegali).

Sfortunatamente, il sito web dell’RC3 non propone la presentazione video completa, ma il testo completo del report è disponibile qui.

Come difendersi dai ransomware

Gli enormi profitti derivanti dai ransomware hanno portato i criminali informatici a comportarsi in modo sempre più sfacciato. Un giorno si atteggiano a moderni Robin Hood dando i soldi in beneficenza, il giorno dopo finanziano una campagna pubblicitaria per infastidire ulteriormente le vittime. In questo studio, i ricercatori hanno cercato di individuare i punti di blocco che avrebbero fermato i flussi finanziari e seminare il dubbio nella mente dei criminali informatici sulla redditività di nuovi ransomware.

L’unico metodo veramente efficace per combattere il cybercrimine consiste nell’evitare le infezioni. Pertanto, vi consigliamo di attenervi strettamente alle seguenti regole:

Insegnate ai dipendenti a riconoscere le tecniche di ingegneria sociale. Al di fuori di alcuni rari casi, i criminali informatici di solito cercano di infettare i computer inviando agli utenti un documento o un link dannoso;
Aggiornate regolarmente tutti i software, specialmente i sistemi operativi. Molto spesso, i ransomware e i loro strumenti di diffusione sfruttano vulnerabilità note, ma per le quali non è stata ancora installata la patch;
Utilizzate soluzioni di sicurezza con tecnologie anti-ransomware integrate: l’ideale sarebbe di servirsi di soluzioni in grado di affrontare sia le minacce conosciute che quelle non ancora individuate;
Eseguite regolarmente il backup dei dati, preferibilmente memorizzando le copie su supporti separati non collegati alla rete locale.

COVID-19, i lockdown frenano la carriera delle donne nel settore tech

Quasi la metà delle donne che lavorano nel settore tecnologico ritiene che gli effetti del COVID-19 abbiano rallentato, piuttosto che favorito, le prospettive di carriera. I dati del sondaggio.

Privacy e bambini

SOLUZIONI TARGETED SECURITY

ENTERPRISE SOLUTIONS

Le crypto-impronte dei ransomware

Il metodo della ricerca

I risultati

Come difendersi dai ransomware

Kaspersky Next: un nuovo portfolio di soluzioni di sicurezza

Attacchi tramite immagini termiche

COVID-19, i lockdown frenano la carriera delle donne nel settore tech

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia