{"id":23773,"date":"2021-01-21T17:36:20","date_gmt":"2021-01-21T15:36:20","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=23773"},"modified":"2021-01-21T17:36:20","modified_gmt":"2021-01-21T15:36:20","slug":"rc3-bitcoin-ransom-tracing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/rc3-bitcoin-ransom-tracing\/23773\/","title":{"rendered":"Le crypto-impronte dei ransomware"},"content":{"rendered":"

Quanto meglio comprendiamo il modus operandi<\/em> e il raggio d\u2019azione dei criminali informatici, tanto pi\u00f9 efficacemente possiamo combatterli. Nel caso dei ransomware, valutare il successo e la redditivit\u00e0 di un particolare gruppo criminale non \u00e8 di solito un compito facile. I vendor di prodotti di sicurezza di solito vengono a conoscenza di tali attacchi osservando e comunicando con i clienti, il che significa essenzialmente che tendiamo ad analizzare i tentativi che non sono andati a buon fine. Nel frattempo, le vittime dei ransomware tendono a tacere (soprattutto quando hanno pagato).<\/p>\n

Di conseguenza, i dati affidabili sugli attacchi riusciti sono scarsi. Tuttavia, al Remote Chaos Communication Congress (RC3) del 2020, un team di ricercatori ha presentato un metodo piuttosto curioso per analizzare le campagne di attacco dei cybercirminali durante tutto il loro svolgimento, basandosi sulle tracce lasciate dalle criptovalute.<\/p>\n

Gli analisti delle Universit\u00e0 di Princeton, di New York e della California, San Diego, nonch\u00e9 i dipendenti di Google e Chainalysis, hanno condotto lo studio nel 2016 e nel 2017. Sono passati alcuni anni, ma il loro metodo pu\u00f2 essere ancora valido.<\/p>\n

Il metodo della ricerca<\/h2>\n

I criminali temono di lasciare tracce sotto forma di denaro, ed \u00e8 per questo che la criminalit\u00e0 informatica moderna preferisce le criptomonete (i Bitcoin in particolare), che praticamente non sono regolamentate e che garantiscono l\u2019anonimato. Inoltre, le criptovalute sono a disposizione di chiunque e le transazioni effettuate non possono essere annullate.<\/p>\n

Tuttavia, esiste un\u2019altra caratteristica rilevante dei Bitcoin: tutte le transazioni Bitcoin sono pubbliche. Ci\u00f2 significa che \u00e8 possibile rintracciare i flussi finanziari e intravedere il funzionamento interno dell\u2019economia criminale informatica e la sua portata. Ed \u00e8 esattamente ci\u00f2 che hanno fatto questi ricercatori.<\/p>\n

Alcuni cybercriminali, anche se non tutti, generano un indirizzo univoco del wallet BTC per ogni vittima, per cui i ricercatori hanno prima raccolto i wallet destinati al pagamento di un riscatto. Hanno trovato alcuni degli indirizzi nei messaggi pubblici sull\u2019infezione (molte vittime hanno pubblicato online degli screenshot del messaggio di riscatto) e ne hanno ottenuti altri eseguendo il ransomware sulle macchine di prova.<\/p>\n

Successivamente, i ricercatori hanno tracciato il percorso della criptovaluta dopo il trasferimento sul wallet, il che in alcuni casi ha richiesto la realizzazione di micropagamenti in Bitcoin. La possibilit\u00e0 di Bitcoin di effettuare il cospending, <\/em>che prevede il trasferimento di fondi da diversi wallet a uno solo, ha permesso ai criminali informatici di aumentare i pagamenti ottenuti da diverse vittime. Ma una tale operazione richiede che la mente organizzatrice abbia le chiavi di pi\u00f9 portafogli.<\/a> Di conseguenza, la rintracciabilit\u00e0 di tali operazioni consente di ampliare l\u2019elenco delle vittime e di trovare contemporaneamente l\u2019indirizzo del wallet centrale dove vengono trasferiti i fondi.<\/p>\n

Dopo aver studiato i flussi finanziari attraverso i wallet per un periodo di due anni, i ricercatori si sono fatti un\u2019idea delle entrate dei criminali informatici e dei metodi utilizzati per riciclare i fondi.<\/p>\n

I risultati<\/h2>\n

La scoperta chiave dei ricercatori \u00e8 stata che, nell\u2019arco di due anni, 19.750 vittime hanno trasferito circa 16 milioni di dollari ai creatori dei cinque tipi di ransomware pi\u00f9 comuni. Certo, la cifra non \u00e8 del tutto accurata (\u00e8 improbabile che siano riusciti a rintracciare tutte le transazioni) ma fornisce una stima approssimativa della portata dell\u2019attivit\u00e0 cybercriminale di qualche anno fa.<\/p>\n

\u00c8 interessante notare che circa il 90% delle entrate proveniva dalle famiglie Locky<\/a> e Cerber<\/a> (le due minacce ransomware pi\u00f9 attive all\u2019epoca). Inoltre, il famigerato WannaCry<\/a> ha raccolto non pi\u00f9 di centomila dollari (anche se molti esperti classificano il malware pi\u00f9 come wiper che come ransomware).<\/p>\n

\"\"

Stima delle entrate dei creatori dei ransomware pi\u00f9 diffusi tra il 2016 e il 2017.<\/p><\/div>\n

Di gran lunga pi\u00f9 interessante \u00e8 stato capire come queste entrate sono finite nelle mani dei criminali informatici e a quanto ammontavano. Per fare ci\u00f2, i ricercatori hanno utilizzato lo stesso metodo di analisi delle transazioni per vedere quali tra i wallet dei cybercriminali sono emersi in transazioni congiunte che coinvolgevano i wallet appartenenti a noti di servizi di exchange online di criptovalute. Non tutti i fondi possono essere rintracciati in questo modo, naturalmente, ma questo metodo ha permesso ai ricercatori di capire che i criminali informatici ritiravano il denaro soprattutto tramite BTC-e.com e BitMixer.io (le autorit\u00e0 hanno chiuso entrambi gli exchange per, indovinate un po\u2019, riciclaggio di fondi illegali).<\/p>\n

Sfortunatamente, il sito web dell\u2019RC3 non propone la presentazione video completa, ma il testo completo del report \u00e8 disponibile qui<\/a>.<\/p>\n

Come difendersi dai ransomware<\/h2>\n

Gli enormi profitti derivanti dai ransomware hanno portato i criminali informatici a comportarsi in modo sempre pi\u00f9 sfacciato. Un giorno si atteggiano a moderni Robin Hood dando i soldi in beneficenza<\/a>, il giorno dopo finanziano una campagna pubblicitaria<\/a> per infastidire ulteriormente le vittime. In questo studio, i ricercatori hanno cercato di individuare i punti di blocco che avrebbero fermato i flussi finanziari e seminare il dubbio nella mente dei criminali informatici sulla redditivit\u00e0 di nuovi ransomware.<\/p>\n

L\u2019unico metodo veramente efficace per combattere il cybercrimine consiste nell\u2019evitare le infezioni. Pertanto, vi consigliamo di attenervi strettamente alle seguenti regole:<\/p>\n