Embedded Agency >

Il business dei malware

Valutazione attuale:  / 0
ScarsoOttimo 

Le finalità dei malware sono molteplici ma, certamente, una delle più comuni è quella di rubare informazioni. Ogni dato sottratto alla vittima è una possibile fonte di guadagno. Da una ricerca “Symantec 2013” (Symantec 2011), azienda leader nella produzione di software destinato a salvaguardare la sicurezza dei computer da attacchi informatici, risulta evidente come l’economia nascosta dietro il furto di dati per- sonali possa portare a guadagni notevoli. Ma qual è realmente la portata del fenomeno? Quanto guadagno c’è dietro un malware? Uno studio effettuato presso l’Università di Mannheim, Germania in collaborazione con Vienna University of Technology, Austria (Thorsten Holz 2008) ha analizzato il mercato legato ai malware “Limbo“ e “Zeus“, tra ottobre e aprile 2008, i numeri sono incredibili, non solo per il guadagno ma anche e soprattutto per l’impressionante numero di dati personali rubati da queste due applicazioni malevoli. In soli 6 mesi, questi malware, hanno permesso un guadagno tra i 700.000 e i 6.000.000 di dollari. E’ evidente come il mercato dei malware sia una realtà allettante per molte persone, un’economia sommersa che vale: 105 miliardi di dollari, (Schipka 2007) con decine di migliaia di partecipanti. I numeri sono davvero notevoli, le 5 società più ricche al mondo (Meoni 2013), in termini di utili, non riescono a tenere il ritmo. Neanche la “Exxon-Mobil“, principale compagnia petrolifera al mondo, con i suoi 44,88 miliardi di dollari, riesce a colmare questa distanza. Ma se questo è comprensibile, sorprende constatare come la “malware economy“ si inserisca di forza nel mercato di quei crimini mondiali cosiddetti “tradizionali”.. Solo il traffico di droga riesce a fruttare, coi i suoi 320 miliardi di dollari, un “utile“ maggiore. Il codice malevolo si colloca al secondo posto staccando notevolmente il traffico di persone e la “contraffazione“. La Malware Economy S.p.a. sembra non conoscere crisi: i criminali utilizzano tecniche del mercato libero per costruire e strutturare un business corrotto. Questa economia sommersa presenta le stesse peculiarità di un’economia tradizionale: divisione del lavoro, concorrenza, marketing e così via, il tutto accelerato dalle crescenti potenzialità e risorse offerte dalla rete. Ciò che sorprende è il livello di specializzazione di questo mercato, paragonabile a un centro commerciale con molteplici negozi, ognuno dedicato a una tipologia di prodotto, che competono tra di loro offrendo il miglior prezzo e il miglior servizio possibile. Proviamo, ora, a vedere come si sviluppa il mercato di un cyber-crime. Il primo passo viene compiuto dai “malware Writers“ che sviluppano virus, spyware e trojan per infettare sistemi informatici. Gli sviluppatori di malware, tuttavia, non vendono direttamente i loro prodotti, lì immettono sul mercato e li offrono per “scopi educativi“ o di ricerca, garantendosi in questo modo una sorta di immunità da procedimenti giudiziari. La presenza di nuovi virus (o lo studio di nuovi virus) attira l’attenzione di una seconda figura: i “Malware Distributor“, che fungono da intermediari. Essi setacciano il mercato alla ricerca di nuovi codici malevoli: per 250$ riescono ad acquistare malware personalizzati secondo le proprie esigenze e  aggiungendo 25$ al mese possono garantirsi anche un’assistenza costante, in modo da poter usufruire di continui aggiornamenti che permetteranno al malware di sfuggire ai rilevamenti di antivirus. Questi intermediari, che acquistano i malware da programmatori, si affidano a dei “Botnet Owner“, “gestori di botnet“, per diffonderli nella rete. Una botnet (S. Ippolito Carlo 2010) è una rete di computer infettati che vengono controllati da remoto da un altro computer. Questi “sistemi vittima“ sono normalmente poco protetti e appartengono, quasi sempre, a persone ignare di quello che sta accadendo, che diventano strumenti in mano a criminali informatici. Queste botnet sono utilizzate da professio- nisti dello spam per inviare massicci quantitativi di posta elettronica attraverso l’installa- zione di software nascosto che trasforma tali computer in server di posta ad insaputa dell’utilizzatore. Una volta che il malware è diffuso il “Malware Distributor“ può comodamente aspettare le informazione e le identità digitali rubate. Una volta ottenuti i dati il criminale può iniziare a venderli. “Un’identità“ viene venduta per circa 5$, essa comprende il nome completo della vittima, i dati del passaporto, carta di identità o patente di guida, numeri di carta di credito e coordinate bancarie. Il servizio messo a disposizione dai questi “cyber-ladri“ identificati come “Identity collector“ è molto raffinato, essi possono offrire le identità digitali rubate in base a diversi criteri: nazione di provenienza, posizione lavorativa, credito presente sulle carte di credito, etc. Vi sono anche categorie di intermediari specializzati: “Credit card User“. Essi trasformano le identità rubate direttamente in contanti, comprano informazioni come numeri di carte di credito rubate e le utilizzano tramite un “drop service“ (servizio a goccia). Questa struttura si occupa di acquistare beni di consumo e di rivenderli tramite siti realizzati ad hoc o direttamente a dei drop. Un “drop“ è una persona che riceve beni acquistati tramite carte di credito rubate, normalmente sono anche loro criminali o semplici creduloni allettati da facili guadagni. Questo servizio è tanto efficace quanto semplice. L’intermediario acquista dei beni tramite le carte di credito rubate, normalmente telecamere, cellulari, computer, su siti on-line e li invia ai “drop“, che a sua volta li rivende, subito on-line. Questo meccanismo è un po’ come lavare le carte di credito rubate. In sistema tanto articolato e capillare non poteva mancare un “Guarantee Service“, questo servizio di garanzia, interposto tra le diverse figure criminali, offre una forma di assicurazione. Un fornitore di “drop service“, ad esempio, può utilizzare questa struttura per garantire al “credit card“ user un pagamento anche se gli acquirenti di prodotti risulteranno insolventi. Un “Guarantee Service“ fornisce, soprattutto, un servizio di deposito a garanzia, funge da intermediario tra venditore e acquirente, tutto passa attraverso di lui: merce venduta e pagamento. Se tutto rispetta gli accordi presi, il pagamento viene sbloccato e i prodotti inoltrati al destinatario. Normalmente un “Guarantee Service”, per questa tipologia di servizio, trattiene il 2-3% del valore della transazione. Questa tipologia di servizi mette in evidenza come questo mercato si stia raffinando e sviluppando, diventando una realtà preoccupante. Un altro segno della crescente “economia“ legata ai malware è il continuo miglioramento della qualità del “codice malevolo“. Gli autori di malware lavorano sodo per testare i loro prodotti contro i software anti-virus. Offrono garanzie che un determinato virus o trojan non verrà rilevato tramite l’antivirus corrente. Se i produttori aggiornano il loro software, l’autore del malware fornirà una nuova versione capace di eludere le nuove tecniche di rilevamento. I programmi anti-virus convenzionali si basano su Firme per rilevare i malware. Una firma è simile ad un frammento di DNA che identifica il virus e lo separa dai dati reali. Come un nuovo malware viene alla luce, fornitori di anti-virus aggiornano la loro lista di “firme“ e i malware writers rispondono creando un nuovo virus.

di Vincenzo Lena