Quanto meglio comprendiamo il modus operandi e il raggio d’azione dei criminali informatici, tanto più efficacemente possiamo combatterli. Nel caso dei ransomware, valutare il successo e la redditività di un particolare gruppo criminale non è di solito un compito facile. I vendor di prodotti di sicurezza di solito vengono a conoscenza di tali attacchi osservando e comunicando con i clienti, il che significa essenzialmente che tendiamo ad analizzare i tentativi che non sono andati a buon fine. Nel frattempo, le vittime dei ransomware tendono a tacere (soprattutto quando hanno pagato).
Di conseguenza, i dati affidabili sugli attacchi riusciti sono scarsi. Tuttavia, al Remote Chaos Communication Congress (RC3) del 2020, un team di ricercatori ha presentato un metodo piuttosto curioso per analizzare le campagne di attacco dei cybercirminali durante tutto il loro svolgimento, basandosi sulle tracce lasciate dalle criptovalute.
Gli analisti delle Università di Princeton, di New York e della California, San Diego, nonché i dipendenti di Google e Chainalysis, hanno condotto lo studio nel 2016 e nel 2017. Sono passati alcuni anni, ma il loro metodo può essere ancora valido.
Il metodo della ricerca
I criminali temono di lasciare tracce sotto forma di denaro, ed è per questo che la criminalità informatica moderna preferisce le criptomonete (i Bitcoin in particolare), che praticamente non sono regolamentate e che garantiscono l’anonimato. Inoltre, le criptovalute sono a disposizione di chiunque e le transazioni effettuate non possono essere annullate.
Tuttavia, esiste un’altra caratteristica rilevante dei Bitcoin: tutte le transazioni Bitcoin sono pubbliche. Ciò significa che è possibile rintracciare i flussi finanziari e intravedere il funzionamento interno dell’economia criminale informatica e la sua portata. Ed è esattamente ciò che hanno fatto questi ricercatori.
Alcuni cybercriminali, anche se non tutti, generano un indirizzo univoco del wallet BTC per ogni vittima, per cui i ricercatori hanno prima raccolto i wallet destinati al pagamento di un riscatto. Hanno trovato alcuni degli indirizzi nei messaggi pubblici sull’infezione (molte vittime hanno pubblicato online degli screenshot del messaggio di riscatto) e ne hanno ottenuti altri eseguendo il ransomware sulle macchine di prova.
Successivamente, i ricercatori hanno tracciato il percorso della criptovaluta dopo il trasferimento sul wallet, il che in alcuni casi ha richiesto la realizzazione di micropagamenti in Bitcoin. La possibilità di Bitcoin di effettuare il cospending, che prevede il trasferimento di fondi da diversi wallet a uno solo, ha permesso ai criminali informatici di aumentare i pagamenti ottenuti da diverse vittime. Ma una tale operazione richiede che la mente organizzatrice abbia le chiavi di più portafogli. Di conseguenza, la rintracciabilità di tali operazioni consente di ampliare l’elenco delle vittime e di trovare contemporaneamente l’indirizzo del wallet centrale dove vengono trasferiti i fondi.
Dopo aver studiato i flussi finanziari attraverso i wallet per un periodo di due anni, i ricercatori si sono fatti un’idea delle entrate dei criminali informatici e dei metodi utilizzati per riciclare i fondi.
I risultati
La scoperta chiave dei ricercatori è stata che, nell’arco di due anni, 19.750 vittime hanno trasferito circa 16 milioni di dollari ai creatori dei cinque tipi di ransomware più comuni. Certo, la cifra non è del tutto accurata (è improbabile che siano riusciti a rintracciare tutte le transazioni) ma fornisce una stima approssimativa della portata dell’attività cybercriminale di qualche anno fa.
È interessante notare che circa il 90% delle entrate proveniva dalle famiglie Locky e Cerber (le due minacce ransomware più attive all’epoca). Inoltre, il famigerato WannaCry ha raccolto non più di centomila dollari (anche se molti esperti classificano il malware più come wiper che come ransomware).
Di gran lunga più interessante è stato capire come queste entrate sono finite nelle mani dei criminali informatici e a quanto ammontavano. Per fare ciò, i ricercatori hanno utilizzato lo stesso metodo di analisi delle transazioni per vedere quali tra i wallet dei cybercriminali sono emersi in transazioni congiunte che coinvolgevano i wallet appartenenti a noti di servizi di exchange online di criptovalute. Non tutti i fondi possono essere rintracciati in questo modo, naturalmente, ma questo metodo ha permesso ai ricercatori di capire che i criminali informatici ritiravano il denaro soprattutto tramite BTC-e.com e BitMixer.io (le autorità hanno chiuso entrambi gli exchange per, indovinate un po’, riciclaggio di fondi illegali).
Sfortunatamente, il sito web dell’RC3 non propone la presentazione video completa, ma il testo completo del report è disponibile qui.
Come difendersi dai ransomware
Gli enormi profitti derivanti dai ransomware hanno portato i criminali informatici a comportarsi in modo sempre più sfacciato. Un giorno si atteggiano a moderni Robin Hood dando i soldi in beneficenza, il giorno dopo finanziano una campagna pubblicitaria per infastidire ulteriormente le vittime. In questo studio, i ricercatori hanno cercato di individuare i punti di blocco che avrebbero fermato i flussi finanziari e seminare il dubbio nella mente dei criminali informatici sulla redditività di nuovi ransomware.
L’unico metodo veramente efficace per combattere il cybercrimine consiste nell’evitare le infezioni. Pertanto, vi consigliamo di attenervi strettamente alle seguenti regole:
- Insegnate ai dipendenti a riconoscere le tecniche di ingegneria sociale. Al di fuori di alcuni rari casi, i criminali informatici di solito cercano di infettare i computer inviando agli utenti un documento o un link dannoso;
- Aggiornate regolarmente tutti i software, specialmente i sistemi operativi. Molto spesso, i ransomware e i loro strumenti di diffusione sfruttano vulnerabilità note, ma per le quali non è stata ancora installata la patch;
- Utilizzate soluzioni di sicurezza con tecnologie anti-ransomware integrate: l’ideale sarebbe di servirsi di soluzioni in grado di affrontare sia le minacce conosciute che quelle non ancora individuate;
- Eseguite regolarmente il backup dei dati, preferibilmente memorizzando le copie su supporti separati non collegati alla rete locale.