Le organizzazioni criminali cyber sono aziende che si muovono all’interno di un mercato in forte crescita. Il modello di business è quello “as a service”. Fino a questo punto nulla di nuovo. Quindi andiamo oltre, ma partiamo comunque dalle notizie “ovvie” che hanno un pregio, sono vere, e un difetto: suscitano ingiustificato stupore. Prendiamone una emblematica pubblicata dal Wall Street Journal lo scorso 29 maggio in cui si parla delle piattaforme PhaaS ovvero Phishing-as-a-Service, operatori che forniscono servizi per l’invio di email truffaldine in abbonamento.
Indice degli argomenti
La banalità del crimine informatico
“La banalità del male“. Così si intitolava il più celebre scritto della filosofa Hannah Arendt e lo prendiamo a prestito perché questi operatori criminali si sono semplicemente ispirati a un servizio di business legale che esiste da molti anni. In effetti sono attivi sul mercato ormai centinaia di operatori legittimi che offrono alle aziende dei servizi di formazione e addestramento dei propri utenti, che prevedono di testare le competenze acquisite proprio attraverso l’invio a dipendenti e collaboratori di email fasulle. I criminali hanno copiato già a partire dal 2020 metodi e infrastrutture. Non a caso gli sviluppatori delle piattaforme PhaaS si comportano i loro alter ego legali: migliorano il prodotto, rilasciano update, assistono i clienti e propongono abbonamenti mensili o annuali.
L’ecosistema criminale as a service
Gli “utenti finali”, anche privi di competenze tecniche, possono condurre attacchi sofisticati semplicemente usando un’interfaccia grafica intuitiva. In questo modo si sono così rapidamente aggiunti alla filiera del crimine cyber che già annoverava diversi operatori specializzati:
- gli IAB (Initial Access Broker) per la raccolta delle informazioni sui target,
- gli operatori CaaS “crime-as-a-service” che si occupano di sfruttare le informazioni per accedere abusivamente ai sistemi,
- i RaaS, “Ransomware-as-a-service” mettono a disposizione il malware, la piattaforma di negoziazione e servizi aggiuntivi per l’eventuale riciclaggio delle cryptovalute estorte.
Il fatto che le piattaforme PhaaS siano letteralmente esplose negli ultimi mesi denuncia un semplice ritardo delle organizzazioni criminali nel cogliere i vantaggi della soluzione. Già questo è meno banale, ma vedremo che c’è una spiegazione per questa “banalità” e per altri cambiamenti in atto nel grande mercato del crimine informatico.
Il problema dell’abbondanza di dati nel cybercrime
Il problema oggi non è sottrarre i dati. È cosa farne. Qualcuno avrà senza dubbio sentito parlare della recente scoperta di una serie di database individuati da diversi ricercatori che complessivamente raccolgono 16 miliardi di username e password. Sulla base delle prime analisi non si tratterebbe di un riciclaggio di vecchie liste, ma di “carne fresca”. Questa notizia deve essere interpretata come un indicatore delle sempre maggiore disponibilità di informazioni che deriva dal funzionamento dello stesso mercato criminale.
Lo schema è semplice: attacco, esfiltrazione, rivendita dei dati sottratti. Considerando che gli attacchi si misurano in decine di migliaia e la quantità di dati oscilla tra qualche gigabyte a qualche terabyte, possiamo dire che una semplice moltiplicazione ci dice che ha disposizione ci sono svariati petabyte (migliaia di terabyte) di informazioni. Questo si configura come un vero e proprio giacimento per gli IAB che possono fornire informazioni sempre più ricche e attendibili ai propri clienti. Certo devono scontrarsi con un annoso problema ben noto a qualsiasi organizzazione: avere troppi dati è come non averne… Ma anche per questo c’è la soluzione.
Strategie di mercato nel cybercrime as a service
In un mercato ad alta crescita, si alza in parallelo il livello di competizione e oltre che sulla qualità è necessario lavorare sul prezzo. Anche in questo caso prendiamo una notizia emblematica che risale allo scorso dicembre quando Lockbit, dopo lo smantellamento da parte delle forze dell’ordine della sua infrastruttura 3.0, aveva annunciato l’imminente lancio della versione 4.0 che aveva una precisa caratteristica: una semplificazione dell’accesso ai servizi e una significativa riduzione dei costi per i propri affiliati (meno di 800 dollari per iniziare a delinquere).
L’intero mercato si è rapidamente adeguato e sono emerse soluzioni come quella di Anubis che propone pochi costi fissi, a fronte di un elevato revenue sharing; oppure Dragon Force che propone un’ampia gamma di servizi compresi nel prezzo, compreso il rilascio e la gestione del malware e della negoziazione con la vittima.
Già nel 2023 un report dell’azienda di security Group-IB segnalava come gli affiliati alla piattaforma RaaS Qilin possono incassare l’80% del riscatto pagato (se il riscatto è pari o inferiore a 3 milioni di dollari); invece per quelli di importo superiore a 3 milioni di dollari, la percentuale salire all’85%. In generale i RaaS stanno differenziando la loro offerta per gli affiliati alla ricerca di nuovi mercati. Anche in questo caso per fare decrescere i prezzi in misura significativa le organizzazioni criminali hanno dovuto fare un salto di qualità a livello di industrializzazione.
L‘intelligenza artificiale come acceleratore del cybercrime
Cosa c’è dietro l’esplosione dei servizi PhaaS, la capacità di sfruttare al meglio la grande disponibilità di informazioni da parte degli IAB e la possibilità dei RaaS di offrire servizi a poche decine di dollari, quando fino a un paio di anni fa ne costavano migliaia? Qualcuno l’avrà intuito: lo sfruttamento massiccio delle potenzialità dell’intelligenza artificiale. Se le aziende sono affascinate dalle potenzialità dell’IA, ma stentano a capire come utilizzarla nel proprio business. Non a caso a fine 2024 una ricerca di Jabra, azienda specializzata nelle soluzioni audio e video professionali, rilevava come su un campione di 1.800 decisori aziendali sparsi in tutto il mondo ben l’85% mostrava un forte interesse per l’intelligenza artificiale, per contro l’82% non aveva chiaro come l’IA potesse effettivamente migliorare l’efficienza della propria organizzazione. Evidentemente i “decisori criminali” ha dimostrato una visione molto chiara. I PhaaS hanno compreso che l’IA è una potentissima macchina sintattica e quindi poteva industrializzare rapidamente la produzione di email fake in tutte le lingue. Gli IAB hanno ben compreso che gi algoritmi sono macchine statistiche capaci di estrarre informazioni da basi dati destrutturate e in esse trovare in pochi minuti schemi ricorrenti invisibili a un essere umano: 16 miliardi di username e password possono tranquillamente rivelare tassonomie nella costruzione delle password da parte degli utenti. I RaaS hanno compreso, per esempio, che un chatbot addestrato adeguatamente può tranquillamente sostituire un operatore umano in una negoziazione.
Vero che per catturare i criminali devi stargli alle spalle, altrimenti non vedi dove vanno, ma se si resta troppo indietro si finisce per perderli di vista, Un rischio oggi più concreto di ieri.
La profittabilità del cybercrime as a service
In questo contesto sono arrivati i dati della sesta edizione del report “State of Ransomware” Sophos e mostrano un dato che, combinato a tutto quanto abbiamo scritto, può dare adito a fosche previsioni.
Ebbene circa il 50 percento delle aziende colpite da un attacco ransomware paga il riscatto e i criminali incassano mediamente circa un milione di dollari. Non esiste un mercato, legale o illegale che sia, con una redemption tanto alta e questo a fronte di un decremento sostanziale dei costi per gli operatori sia i RaaS sia i loro affiliati. Sulla base di questi numeri, i primi possono tranquillamente accettare un modello di revenue sharing anche fornendo i loro servizi senza fare pagare un canone. Gli affiliati per contro sempre meno devono disporre di alcun tipo di competenza: tutto quello che gli serve sono le informazioni per accedere ai sistemi. Senza usare troppa fantasia possiamo ipotizzare che una pletora di “criminali per caso” possa ipotizzare di fare parecchi soldi anche con un singolo attacco, magari a un’azienda che conosco anche “troppo bene”.
