Check Point fa luce sulle dinamiche di ‘Cerber’ una delle più grandi campagne ransomware al mondo. I risultati hanno aiutato i ricercatori a creare uno strumento di decrittazione che consente a privati e aziende di riprendere il controllo delle macchine infette – senza pagare il riscatto ai cyber crimiali.
Check Point® Software Technologies ha pubblicato un report che svela alcuni dettagli e analisi inediti riguardo una delle più grandi reti ransomware-as-a-service del mondo, Cerber. Il rapporto offre un inedito dietro le quinte sulla complessa campagna di cyber crimine, facendo luce non solo sulla florida industria del ransomware-as-a-service, ma svelando anche come privati e aziende possono riprendere il controllo delle macchine infette – senza pagare i riscatti sempre più cospicui ai cyber crimiali. Nel rapporto di 60 pagine, stilato dal Threat Intelligence and Research Team di Check Point insieme al partner di ricerca IntSights Cyber Intelligence, vengono rivelati nuovi dettagli e analisi sul funzionamento tecnico e commerciale di Cerber, tra cui:
• Rispetto ad altri ransomware, Cerber ha un tasso di infezione molto più elevato. Cerber al momento conduce oltre 160 campagne attive a livello globale, con un guadagno annuo stimato di circa 2,3 milioni di dollari. Ogni giorno vengono lanciate in media otto nuove campagne: solo nel mese di luglio, la ricerca ha stimato circa 150.000 vittime in 201 Paesi.
• Gli affiliati di Cerber riciclano denaro. Cerber utilizza la valuta Bitcoin per eludere il rintracciamento, e crea un wallet specifico per ricevere il pagamento del riscatto da parte di ogni singola vittima. Nel momento in cui il riscatto viene pagato (di solito 1 Bitcoin, che attualmente vale circa 590 dollari), la vittima riceve la chiave di decrittazione. Il Bitcoin viene trasferito allo sviluppatore del malware attraverso un servizio misto, che coinvolge decine di migliaia di wallet Bitcoin, rendendo quasi impossibile il rintracciamento. Alla fine del processo, il denaro raggiunge lo sviluppatore, e gli affiliati ricevono la loro percentuale.
• Cerber spiana la strada a molti aspiranti hackers. Cerber consente anche ad attori senza particolari conoscenze tecniche di prendere parte a un business estremamente redditizio, gestendo campagne indipendenti, utilizzando set di server Command & Control (C&C) predefiniti e un’interfaccia di controllo completa e facile da usare, disponibile in 12 lingue.
Dal giugno 2016, Check Point e IntSight hanno ricreato la mappa completa del complesso sistema sviluppato da Cerber, così come la sua infrastruttura di distribuzione globale. I ricercatori sono stati in grado di rigenerare i wallet delle vittime, consentendo al team di monitorare i pagamenti e le transazioni, e di tenere traccia sia delle entrate ottenute dalle infezioni dei malware sia del flusso di denaro. Inoltre, queste informazioni hanno costituito la base per lo sviluppo di uno strumento di decrittazione che potrebbe porre rimedio ai sistemi infetti senza che privati o aziende cedano alle richieste di riscatto dei cyber-criminali. La ricerca offre una visione molto rara della natura e degli obiettivi globali della florida industria del ransomware-as-a-service. Gli attacchi informatici non è più solo appannaggio di certe nazioni o di chi ha specifiche competenze tecniche; al giorno d’oggi sono a disposizione di chiunque poiché sono eseguibili abbastanza facilmente. Di conseguenza, questo settore sta crescendo molto, e dovremmo tutti prendere le dovute precauzioni e implementare protezioni rilevanti. Per maggiori informazioni, il report completo ‘CerberRing: An In-Depth Exposé on Cerber Ransomware-as-a-Service’ è disponibile qui: http://www.checkpoint.com/resources/cerberring/ . Inoltre, per informazioni su cosa privati e aziende devono fare per decrittare le macchine infettate dai malware distribuiti da Cerber, cliccate: http://cerberdecrypt.com.