Corsi on-line

Quanto guadagnano i Cyber-Criminali?

I ricercatori di Arbor Networks hanno tentato di calcolare i possibili guadagni derivanti da un attacco DDoS (Distributed Denial of Service) partendo da una pubblicità pubblicata su uno dei forum in lingua russa tramite i quali vengono promossi servizi booter e botnet. Le indagini sono partite dall’individuazione di un operatore, “Forceful“, i cui recapiti ICQ e Jabber sarebbero collegati ad una serie di annunci in cui vengono descritti gli attacchi DDoS supportati dalla piattaforma offerta e i relativi prezzi.

Annuncio_DDoS

In genere questi annunci non contengono informazioni sul sistema di comando e controllo delle botnet adottate per gli attacchi DDoS acquistati, riuscire a stabilire la congiunzione tra un annuncio e la botnet associata richiede infatti che l’operatore cada palesemente in errore. Nel caso di Forceful egli stava partecipando a una discussione su un criptatore utilizzato per cifrare  l’eseguibile di un malware in modo da scongiurare l’azione degli antivirus.

L’operatore avrebbe pubblicato uno screenshot contenente i risultati di una scansione antivirus allo scopo di provare l’efficacia del criptatore a protezione di un campione di malware, egli però si sarebbe dimenticato di cancellare l’eseguibile impiegato per il test, permettendo ai servizi per il rilevamento malware di identificarlo; grazie ad una rilevante svista a danno della Operations Security è stato così individuato un dominio di provenienza, “kypitest[.]ru”.

Il primo attacco proveniente da tale botnet risalirebbe al luglio dello scorso anno, a partire da allora sarebbero stati osservati attacchi contro più di un centinaio di host/IP unici localizzati in oltre 10 paesi. Le indagini sarebbero state poi favorite da un secondo errore dovuto alla pubblicazione dell’hash di un malware DDoS che avrebbe confermato il legame precedentemente osservato con “kypitest[.]ru”. Adirato per non aver ricevuto spiegazioni relativamente alla rimozione di una sua pubblicità, l’operatore avrebbe lanciato un attacco al forum in modo da attirare l’attenzione del suo amministratore.

E’ stato così possibile osservare un ulteriore DDoS proveniente da “kypitest[.]ru”, nello specifico un “.httpflood” contro un mining pool di criptovalute conclusosi con successo. Ora, il listino Il listino dell’operatore DDoS indica un prezzo giornaliero pari a 60 dollari (400 su base settimanale), viene inoltre specificato un 10% di sconto su ordini da 500 dollari e il 15% su ordini da mille dollari. Non essendo stato specificato un costo orario è stato calcolato un prezzo di 2.50 dollari (60 dollari/24 ore), risultato che porta a stimare i ricavi  dell’attacco in 172.50 dollari (2 giorni x 60 dollari + 21 ore x 2.50).

Considerando gli altri eventi malevoli osservati,  i ricavi generati dagli 82 attacchi perpetrati dalla botnet a partire dal 9 luglio 2015 fino al 18 ottobre dello stesso anno sarebbero stati pari a 5.408 dollari, un guadagno medio per singola azione di 66 dollari (54 dollari su base giornaliera). Ciò a fronte di un costo medio sostenuto dalle vittime di un attacco DDoS di circa 500 dollari al minuto, 30 mila dollari all’ora, 720 mila dollari nell’arco di un giorno.

Appare quindi immediatamente evidente la sproporzione tra il danno subito dai destinatari degli attacchi e l’investimento estremamente contenuto rispetto al guadagno illecitamente generato degli attaccanti.

Via Arbor Networks

Post correlati
I più letti del mese
Tematiche