Il cybercrime è diventato un vero e proprio mercato: c’è chi compra, chi vende e chi noleggia botnet.
Gli esperti di Kaspersky Digital Footprint Intelligence hanno analizzato le vendite di botnet sul dark web e sui canali shadow di Telegram, scoprendo che gli aggressori possono acquistare soluzioni già pronte a partire da 99 dollari. Oltre agli acquisti occasionali, le botnet possono essere noleggiate o acquisite come codice sorgente trapelato a un prezzo simbolico. In alcuni casi è disponibile anche lo sviluppo di botnet personalizzate.
Cosa è la botnet?
Una botnet è una rete di dispositivi infettati da malware, che vanno dagli spazzolini intelligenti ai più avanzati dispositivi industriali connessi a Internet, che gli aggressori utilizzano per organizzare attacchi di massa automatizzati, come quelli DDoS.
“Mirai è uno dei più famosi esempi di botnet. Esegue una scansione di Internet alla ricerca di dispositivi IoT con password standard deboli, utilizza una serie di credenziali predefinite per ottenere l’accesso e li infetta. I dispositivi colpiti diventano quindi parte della botnet, che può essere controllata da remoto per eseguire vari tipi di cyberattacchi”, ha spiegato Alisa Kulishenko, Security Analyst di Kaspersky Digital Footprint Intelligence.
Le botnet come Mirai sono create dai criminali informatici per essere vendute e offrono processi di infezione, tipologie di malware, infrastrutture e tecniche di elusione personalizzate. I truffatori le vendono ad altri criminali sul ‘mercato ombra’, dove i prezzi delle botnet variano in base alla qualità; quest’anno le offerte andavano da un minimo 99 dollari a un massimo di 10.000 dollari.
Un esempio di un’offerta di vendita di una botnet sul dark web
I prezzi delle botnet nel dark web
Le botnet sono disponibili anche a noleggio. I prezzi variano da 30 a 4.800 dollari al mese. “I potenziali guadagni derivanti da attacchi che utilizzano botnet a noleggio o in vendita possono superare i costi associati. Permettono di svolgere attività come il mining illegale di criptovalute o attacchi ransomware e molto altro ancora. Alcune fonti pubbliche riportano che il pagamento medio di un riscatto è di due milioni di dollari americani! Al contrario, noleggiare una botnet costa molto meno e può essere ripagato anche con un solo attacco riuscito”, ha aggiunto Alisa Kulishenko. Dall’inizio del 2024, gli esperti di Kaspersky hanno rilevato più di 20 offerte di botnet a noleggio o in vendita sui forum del dark web e sui canali Telegram.
Altre opzioni: bot illegali e sviluppo personalizzato
Oltre all’acquisto di una soluzione già pronta, esistono modi più economici per accedere alle botnet da parte di soggetti malintenzionati. Così come i dati legittimi possono essere divulgati, anche il codice sorgente di una botnet può essere rilasciato pubblicamente da attori malintenzionati. In base alle informazioni ricavate da circa 400 post sul dark web e sui canali shadow di Telegram osservati dall’inizio del 2024, l’accesso a questo codice sorgente può essere ottenuto gratuitamente o dietro pagamento di una somma compresa tra 10 e 50 dollari. In generale, le botnet illegali sono considerate un’alternativa per gli attori meno esperti, poichè hanno maggiori probabilità di essere rilevate dalle soluzioni di sicurezza.
Un attore delle minacce può commissionare lo sviluppo di una botnet da zero. I costi di sviluppo partono da 3.000 dollari e non rientrano in una fascia di prezzo specifica.
“La maggior parte di questi accordi avviene privatamente, attraverso messaggi personali e i fornitori sono solitamente scelti in base alla loro reputazione, come ad esempio le valutazioni dei forum”, ha concluso Alisa Kulishenko.
I consigli di Kaspersky
Per evitare le minacce legate alle attività dei criminali informatici nella shadow Internet, è importante implementare le seguenti misure di sicurezza:
- Utilizzare Kaspersky Digital Footprint Intelligence per aiutare i security analyst a esplorare le risorse aziendali dal punto di vista di un avversario e a scoprire tempestivamente i potenziali vettori di attacco a loro disposizione. Ciò contribuisce anche a sensibilizzare l’opinione pubblica nei confronti delle attuali minacce dei criminali informatici, in modo da adeguare le difese di conseguenza o adottare tempestivamente misure di prevenzione ed eliminazione.
- Scegliere una soluzione affidabile per la sicurezza degli endpoint, come Kaspersky Endpoint Security for Business, dotata di funzionalità di rilevamento basato sul comportamento e di controllo delle anomalie per una protezione efficace contro le minacce note e sconosciute.
