REvil: il "ransomware as a service" da 260.000$ ad azienda colpita

Il modello "as a service" non viene utilizzato solo per le attività lecite. Il ransomware REvil sta mietendo numerose vittime e fa parte di un'operazione cybercriminale condotta come "ransomware as a service", in cui i creatori del malware lo affittano di fatto ad altri criminali, responsabili a loro volta della diffusione. Questo elemento di novità va a unirsi alla richiesta di riscatto ben superiore alla norma: 260.000$ in media per ciascuna azienda colpita.

REvil: anche il ransomware diventa "as a service"

REvil ha mietuto numerose vittime nel corso degli ultimi mesi. Secondo KPN, operatore di telecomunicazioni olandese, le infezioni effettive sono molte più di quelle di cui si è parlato pubblicamente. L'operatore è infatti riuscito, come riporta ZDNet, a intercettare le comunicazioni tra i computer infetti e i server di controllo sfruttando una macchina infetta (con la tecnica del cosiddetto sinkhole). Sarebbero ben 150.000 le macchine infette in tutto il mondo, molto al di sopra delle stime.

A infettare queste 150.000 macchine sarebbero state solo 148 varianti di REvil: un dato interessante, dal momento che ogni variante corrisponde a un tentativo di infezione differente. Ciò implica anche una media di 1.000 macchine per variante: REvil sarebbe dunque particolarmente efficace nel colpire le reti di grandi aziende.

Proprio questo è lo scopo per cui sarebbe stato sviluppato: i creatori del ransomware l'avrebbero creato puntando specificamente alle grandi aziende e opererebbero su obiettivi specifici, anziché cercando di colpire nel mucchio degli utenti casalinghi inconsapevoli.

Secondo quanto raccolto da KPN, il riscatto complessivo richiesto per i sistemi vittime di REvil è di 38 milioni di dollari, ovvero 260.000$ per azienda infettata in media. Si tratta di un balzo verso l'alto notevole rispetto alla media. Nei casi in cui il ransomware riesce a infettare una sola macchina la media del riscatto è pari a 48.000$, ben sopra i 1000 o 2000 dollari dei ransomware tradizionali. Nel caso in cui più macchine vengano infettate, la richiesta passa a 470.000$, arrivando in alcuni casi a più di 1 milione. Non si hanno informazioni su quante aziende vittime abbiano pagato il riscatto.

REvil denota quindi un cambiamento su più punti della strategia delle bande criminali: il ransomware viene sviluppato specificamente per colpire le reti di grandi aziende e dato in licenza; gli utenti comuni non solo non sono considerati, ma sono visti come vittime da non colpire; la richiesta di riscatto è molto superiore alla media. Cambiamenti che potrebbero poi essere presi come esempio da altre organizzazioni.

I ransomware rimarranno una delle principali minacce per la sicurezza aziendale nel 2020, come ricorda Sophos, e REvil è solo uno dei tasselli di questo puzzle complesso. Usare una strategia di backup che includa copie non connesse - e dunque non corrompibili dal ransomware - assieme a una valida strategia di sicurezza e di formazione del personale è l'unico rimedio a questo tipo di attacchi.