Check Point Software Technologies fa luce sulle dinamiche di “Cerber”, una delle più grandi reti ransomware-as-a-service del mondo, in un report inedito dove svela i meccanismi di questo tipo di minaccia e come privati e aziende possono riprendere il controllo delle macchine infette senza cedere alle minacce dei cyber criminali.
Nel rapporto di 60 pagine, stilato dal Threat Intelligence and Research Team di Check Point insieme al partner di ricerca IntSights Cyber Intelligence, emerge come Cerber, rispetto ad altri ransomware, abbia un tasso di infezione molto più elevato. Cerber al momento conduce oltre 160 campagne attive a livello globale, con un guadagno annuo stimato di circa 2,3 milioni di dollari. Ogni giorno vengono lanciate in media otto nuove campagne: solo nel mese di luglio, la ricerca ha stimato circa 150.000 vittime in 201 Paesi.
L’analisi spiega inoltre come gli affiliati di Cerber riciclano denaro. Cerber utilizza la valuta Bitcoin per eludere il rintracciamento, e crea un wallet specifico per ricevere il pagamento del riscatto da parte di ogni singola vittima. Nel momento in cui il riscatto viene pagato (di solito 1 Bitcoin, che attualmente vale circa 590 dollari), la vittima riceve la chiave di decrittazione. Il Bitcoin viene trasferito allo sviluppatore del malware attraverso un servizio misto, che coinvolge decine di migliaia di wallet Bitcoin, rendendo quasi impossibile il rintracciamento. Alla fine del processo, il denaro raggiunge lo sviluppatore, e gli affiliati ricevono la loro percentuale.
Uno dei punti di forza di Cerber è che consente anche ad attori senza particolari conoscenze tecniche di prendere parte a un business estremamente redditizio, gestendo campagne indipendenti, utilizzando set di server Command & Control (C&C) predefiniti e un’interfaccia di controllo completa e facile da usare, disponibile in 12 lingue.
Dal giugno 2016, Check Point e IntSight hanno ricreato la mappa completa del complesso sistema sviluppato da Cerber, così come la sua infrastruttura di distribuzione globale. I ricercatori sono stati in grado di rigenerare i wallet delle vittime, consentendo al team di monitorare i pagamenti e le transazioni, e di tenere traccia sia delle entrate ottenute dalle infezioni dei malware sia del flusso di denaro. Inoltre, queste informazioni hanno costituito la base per lo sviluppo di uno strumento di decrittazione che potrebbe porre rimedio ai sistemi infetti senza che privati o aziende cedano alle richieste di riscatto dei cyber-criminali.
