Il team dietro gli attacchi REvil-Sodinokibi cerca affiliati e deposita un milione di dollari come garanzia di serietà
Il
ransomware è un business affermato e porta guadagni di tutto rispetto. Abbastanza perché uno dei principali team che sta dietro attacchi ransomware importanti - quelli di
REvil/Sodinokibi - possa depositare senza problemi un milione di dollari in un forum pubblico. Come garanzia di serietà per i potenziali affiliati. Un annuncio di "assunzioni" che promette un
aumento degli attacchi ransomware verso bersagli importanti. Come se non ce ne fossero già
abbastanza. E
pericolosi.
Già da qualche tempo gli attacchi ransomware
hanno adottato il modello as-a-Service. Come ormai la gran parte delle imprese, che usano i servizi cloud, anche i criminali hanno capito che è inutile reinventare la ruota ogni volta. Una piattaforma creata per distribuire ransomware può essere usata
per molte operazioni. Da criminali diversi, per colpire aziende differenti. È così anche nel caso degli attacchi basati sul ransomware REvil/
Sodinokibi.
Il modello di business del ransomware è semplice. Un gruppo di hacker ostili sviluppa un ransomware, del tutto nuovo o una variante di uno già esistente. Sviluppa anche una
piattaforma RaaS (Ransomware-as-a-Service) mediante la quale un altro gruppo di criminali lancia un attacco con quel ransomware verso uno
specifico obiettivo. A seconda dei casi, il secondo gruppo deve fornire più o meno informazioni sulla rete da colpire. Quindi anche questo gruppo "minore"
non può essere fatto da inesperti. Tranne che per le piattaforme RaaS più semplici.
![ransomware ransomware](https://www.securityopenlab.it/immagini/2020/06/ransomware-3.jpg)
Si tratta di una collaborazione in cui chi sviluppa il ransomware
as-a-Service non agisce direttamente nei singoli attacchi. Ma
prende il 20-30% del loro ricavo economico. Per aver fornito la piattaforma e il ransomware. Il gruppo, o il singolo attaccante, che porta effettivamente l'attacco - l'affiliato, tecnicamente - prende il restante 70-80%.
Ora il gruppo dietro REvil/Sodinokibi,
racconta BP, è in cerca di nuovi affiliati. E per dimostrare che è un gruppo solido, con cui fare affari importanti, ha depositato
l'equivalente in Bitcoin di un milione di dollari in un forum russo per hacker. Questo forum gestisce anche i walllet di criptovalute dei membri. E ciascuno di essi può vedere i depositi degli altri. Con il suo deposito, il gruppo dietro REvil/Sodinokibi ha dimostrato che un milione di dollari
non rappresenta un particolare impegno finanziario.
Questo a sua volta dimostra due elementi importanti. Che la sua piattaforma
porta introiti elevati, quindi è molto appetibile. E che il gruppo
ha ormai le spalle larghe, quindi resterà sul mercato (nero) molto probabilmente a lungo. Tanto che ha la possibilità di selezionare i suoi affiliati. Vuole
espandere il team degli affiliati con "
persone di talento". In sostanza, "
team che hanno già esperienze e competenze in penetration testing", nella violazione degli endpoint, nelle piattaforme di virtualizzaazione, nel lavorare con alcuni tool di hacking specifici come koadic e Metasploit.
Lo scopo finale del reclutamento di nuovi affiliati? "
Aumentare la qualità e la quantità" del
materiale raccolto con gli attacchi. Il che porta "
un aumento dei profitti". Ma un team consolidato come quello di REvil ha bisogno di team affiliati capaci, quindi "
questo non significa che tutti saranno accettati". Un approccio "aziendale" legato anche al fatto che il team
opera appunto come un'azienda privata, cioè non è sovvenzionato - a quanto se ne sa - da Governi che usano gli attacchi ransomware per fini politici.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.
![](/img/google-news.svg)
Rimani sempre aggiornato, seguici su Google News!
Seguici