Il ransomware è un business affermato e porta guadagni di tutto rispetto. Abbastanza perché uno dei principali team che sta dietro attacchi ransomware importanti - quelli di REvil/Sodinokibi - possa depositare senza problemi un milione di dollari in un forum pubblico. Come garanzia di serietà per i potenziali affiliati. Un annuncio di "assunzioni" che promette un aumento degli attacchi ransomware verso bersagli importanti. Come se non ce ne fossero già abbastanza. E pericolosi.

Già da qualche tempo gli attacchi ransomware hanno adottato il modello as-a-Service. Come ormai la gran parte delle imprese, che usano i servizi cloud, anche i criminali hanno capito che è inutile reinventare la ruota ogni volta. Una piattaforma creata per distribuire ransomware può essere usata per molte operazioni. Da criminali diversi, per colpire aziende differenti. È così anche nel caso degli attacchi basati sul ransomware REvil/Sodinokibi.

Il modello di business del ransomware è semplice. Un gruppo di hacker ostili sviluppa un ransomware, del tutto nuovo o una variante di uno già esistente. Sviluppa anche una piattaforma RaaS (Ransomware-as-a-Service) mediante la quale un altro gruppo di criminali lancia un attacco con quel ransomware verso uno specifico obiettivo. A seconda dei casi, il secondo gruppo deve fornire più o meno informazioni sulla rete da colpire. Quindi anche questo gruppo "minore" non può essere fatto da inesperti. Tranne che per le piattaforme RaaS più semplici.
Si tratta di una collaborazione in cui chi sviluppa il ransomware as-a-Service non agisce direttamente nei singoli attacchi. Ma prende il 20-30% del loro ricavo economico. Per aver fornito la piattaforma e il ransomware. Il gruppo, o il singolo attaccante, che porta effettivamente l'attacco - l'affiliato, tecnicamente - prende il restante 70-80%.

Ora il gruppo dietro REvil/Sodinokibi, racconta BP, è in cerca di nuovi affiliati. E per dimostrare che è un gruppo solido, con cui fare affari importanti, ha depositato l'equivalente in Bitcoin di un milione di dollari in un forum russo per hacker. Questo forum gestisce anche i walllet di criptovalute dei membri. E ciascuno di essi può vedere i depositi degli altri. Con il suo deposito, il gruppo dietro REvil/Sodinokibi ha dimostrato che un milione di dollari non rappresenta un particolare impegno finanziario.

Questo a sua volta dimostra due elementi importanti. Che la sua piattaforma porta introiti elevati, quindi è molto appetibile. E che il gruppo ha ormai le spalle larghe, quindi resterà sul mercato (nero) molto probabilmente a lungo. Tanto che ha la possibilità di selezionare i suoi affiliati. Vuole espandere il team degli affiliati con "persone di talento". In sostanza, "team che hanno già esperienze e competenze in penetration testing", nella violazione degli endpoint, nelle piattaforme di virtualizzaazione, nel lavorare con alcuni tool di hacking specifici come koadic e Metasploit.

Lo scopo finale del reclutamento di nuovi affiliati? "Aumentare la qualità e la quantità" del materiale raccolto con gli attacchi. Il che porta "un aumento dei profitti". Ma un team consolidato come quello di REvil ha bisogno di team affiliati capaci, quindi "questo non significa che tutti saranno accettati". Un approccio "aziendale" legato anche al fatto che il team opera appunto come un'azienda privata, cioè non è sovvenzionato - a quanto se ne sa - da Governi che usano gli attacchi ransomware per fini politici.