Check Point Software Technologies pubblica un report che svela alcuni dettagli riguardanti “Cerber”, una delle più grandi reti ransomware-as-a-service del mondo.
La documentazione traccia i contorni della complessa campagna di cyber crimine, facendo luce non solo sulla florida industria del ransomware-as-a-service, ma svelando anche come privati e aziende possono riprendere il controllo delle macchine infette – senza pagare i riscatti sempre più cospicui ai cyber crimiali.
Di seguito i dettagli salienti dell’indagine:
• Rispetto ad altri ransomware, Cerber ha un tasso di infezione molto più elevato. Cerber al momento conduce oltre 160 campagne attive a livello globale, con un guadagno annuo stimato di circa 2,3 milioni di dollari. Ogni giorno vengono lanciate in media otto nuove campagne: solo nel mese di luglio, la ricerca ha stimato circa 150.000 vittime in 201 Paesi.
• Gli affiliati di Cerber riciclano denaro. Cerber utilizza la valuta Bitcoin per eludere il rintracciamento, e crea un wallet specifico per ricevere il pagamento del riscatto da parte di ogni singola vittima. Nel momento in cui il riscatto viene pagato (di solito 1 Bitcoin, che attualmente vale circa 590 dollari), la vittima riceve la chiave di decrittazione. Il Bitcoin viene trasferito allo sviluppatore del malware attraverso un servizio misto, che coinvolge decine di migliaia di wallet Bitcoin, rendendo quasi impossibile il rintracciamento. Alla fine del processo, il denaro raggiunge lo sviluppatore, e gli affiliati ricevono la loro percentuale.
• Cerber spiana la strada a molti aspiranti hackers. Cerber consente anche ad attori senza particolari conoscenze tecniche di prendere parte a un business estremamente redditizio, gestendo campagne indipendenti, utilizzando set di server Command & Control (C&C) predefiniti e un’interfaccia di controllo completa e facile da usare, disponibile in 12 lingue.
Dal giugno 2016, Check Point e IntSight hanno ricreato la mappa completa del complesso sistema sviluppato da Cerber, così come la sua infrastruttura di distribuzione globale. I ricercatori sono stati in grado di rigenerare i wallet delle vittime, consentendo al team di monitorare i pagamenti e le transazioni, e di tenere traccia sia delle entrate ottenute dalle infezioni dei malware sia del flusso di denaro. Inoltre, queste informazioni hanno costituito la base per lo sviluppo di uno strumento di decrittazione che potrebbe porre rimedio ai sistemi infetti senza che privati o aziende cedano alle richieste di riscatto dei cyber-criminali.