Spesso si parla di economia del cybercrime parlando del giro di soldi, effettivamente enorme, che c’è dietro l’attività della criminalità organizzata che costantemente inonda le caselle di posta di malware, phishing e schifezze di questo tipo.
Spesso però mancano i dati reali di quanto sia questo giro d’affari, e cosa c’è di più reale di un listino prezzi?
Grazie a Gianni, posso mostrare uno di questi prezziari, tra l’altro molto recente
Ovviamente la moneta di riferimento è sempre BitCoin, ma per comodità qui hanno fatto anche una pratica conversione con gli euro.
Oltre a far comprendere il giro d’affari (perché i prezzi naturalmente sono legati al mercato, con tutte le logiche di domanda e offerta che ne conseguono), si capisce bene anche la semplicità di fare certe cose, rispetto alla complessità di farne altre.
Non mi soffermo nemmeno sui conti bancari/carte di credito, visto che sul mercato (in particolare quello USA, dovuto ad una scarsa sicurezza dell’implementazione) non valgono praticamente più nulla.
È interessante però il lato dei servizi, in particolare quelli legati alle password.
45.000 password di WordPress, ovvero l’accesso alla parte amministrativa di 45mila blog costano solo poco più di 300 euro.
Questo “servizio” è molto importante perché la compromissione di siti WordPress (la più diffusa piattaforma di blogging web), è il primo passo per implementare una campagna di phishing o diffusione malware, senza praticamente rischiare nulla e senza avere legami poi con il sito che offre il codice malevolo.
Interessante anche il servizio di firma del codice (indicato come REALE), che permette di inviare un malware che risulta firmato, quindi potenzialmente passerebbe le policy di sicurezza di Windows. Il costo è qui più elevato, sugli 800 euro.
Molto basso invece, nemmeno 50 euro, il costo di un kit per farsi in casa il proprio ransomware (Cryptolocker e affini). Il che spiega anche la grande quantità di questo tipo di attacchi negli ultimi mesi, ma è un’altra storia…
I prezzi salgono, anche di qualche decina di migliaia di euro, per gli exploit zero day o quasi.
Mentre causare un kernel panic costa poco, ma può comunque provocare danni se mirato su un server critico, un attacco 1day (perché noto) sfruttando la CVE-2015-0057 mirata ad una privilege elevation su un server Windows arriva a più di 10.000 euro.
Il top di gamma del listino è un attacco, sempre verso un server Windows ISS che permette, sfruttando la vulnerabilità MS-15-034, di eseguire codice sul server stesso.
Qui arriviamo a 65.000 euro, praticamente il costo di un monolocale.
Ovviamente il prezzo molto elevato è dovuto alla scarsità di offerta e alla domanda molto elevata, visto molti server sono vulnerabili e al momento non risulta ci sia ancora una patch valida.
Tornando al discorso dell’economia, il fatto che questi prezzi vengano esposti, significa che qualcuno è disposto a pagarli. Subito e in contanti.
Il fatto poi che le cifre in gioco sono così alte indica che comprando questi servizi, exploit o kit, ovviamente testati e funzionanti, si ha la certezza di poterli usare per guadagnare ancora di più.
quindi la mia password vale 0,007€ :-O
Dipende come è fatta, forse anche meno! 😛
Verissimo tutto ciò!!…Ma non dimentichiamo, come dietro a questi “servizi”, pur offerti nel deep web, poi alla fine della corsa, non si nascondano altro che truffatori di “livello”. Fermo restando l’impressionante problema della quantità di voci nel “listino”
Sì, ma non sempre.
È vero che c’è da dubitare ma la fonte in questo caso è attendibile, e viene da un marketplace reale e quindi sono servizi veri.
Come detto questo è un vero e proprio business, con tanto di giudizi recensioni e forum di supporto (anzi, in qualche caso di malware kit ci sono anche degli helpdesk via skype…)
>il fatto che questi prezzi vengano esposti, significa che qualcuno è disposto a pagarli. Subito e in contanti
(Contanti?)
pagare 10.000 euro un exploit pubblico, a me sembra una montagna di spazzatura l’articolo
Valga come offerta pubblica, lo programmo io per 1000Euro
Contanti si intende ovviamente non cash, quando trasferimenti BitCoin, o in qualche caso anche money transfer. Che equivale a dare i soldi direttamente.
Il punto poi è che non è pubblico l’exploit, ma è pubblica (e non patchabile) la vulnerabilità.
Per il resto, se lo sai fare, fallo pure, il mercato è aperto.
Ovviamente è illegale, ma ci sono sempre diversi programmi di Bug Bounty di molti fornitori di servizi del web che pagano soldi per chi gli trova le vulnerabilità. Qualche gruppo di ricercatori penso ci campi abbastanza bene segnalando cose di continuo, nella piena legalità.
Ma, come detto, tra il dire e i soldi bisogna saperlo fare.