Dentro l’underworld del ransomware: come le reti di affiliati alimentano l’estorsione globale

Nelle ombre di internet, una forza lavoro invisibile sta alimentando un’ondata di crimini digitali. Non si tratta di hacker solitari o di oscuri cervelli criminali: sono affiliati, reclutati dalle gang di ransomware per fare il lavoro sporco. Mentre gli attacchi ransomware schizzano alle stelle, la vera storia è come una rete globale di “partner” criminali stia trasformando l’estorsione informatica in un grande business.

La macchina degli affiliati: industrializzare il ransomware

Sono finiti i tempi in cui l’estorsione informatica era il dominio di geni criminali isolati. L’ecosistema ransomware di oggi è alimentato da un modello di business preso in prestito dalla Silicon Valley: il programma di affiliazione. I sindacati del ransomware - come Conti, LockBit e BlackCat - si sono trasformati in brand, offrendo il loro software malevolo a un vasto bacino di affiliati criminali. Questi affiliati, spesso reclutati dai forum del dark web, sono responsabili dell’intrusione nelle organizzazioni, della distribuzione del ransomware e della negoziazione dei riscatti. In cambio, si intascano una commissione sostanziosa - talvolta fino all’80% del pagamento del riscatto.

Questo modello, noto come Ransomware-as-a-Service (RaaS), ha abbassato radicalmente la barriera d’ingresso. Gli aspiranti cybercriminali non devono più sviluppare il proprio malware; si limitano a iscriversi, ottenere accesso a kit ransomware sofisticati e iniziare a colpire le vittime. I sindacati forniscono tutto - malware, portali di pagamento, perfino assistenza clienti. Agli affiliati basta portare le vittime.

Le vittime che si rifiutano di pagare affrontano una seconda ondata di estorsione: la gogna pubblica. L’ascesa dei “ransom feed” - siti web in cui i dati rubati vengono riversati come avvertimento - mette pressione sulle organizzazioni perché paghino in fretta. Questa minaccia a doppio taglio ha reso il ransomware uno dei cybercrimini più redditizi del decennio, con danni che ammontano a miliardi di dollari ogni anno.

Le forze dell’ordine si trovano davanti a una sfida scoraggiante. Anche se, di tanto in tanto, operatori ransomware di alto profilo vengono catturati, il modello degli affiliati significa che esistono migliaia di attori più piccoli sparsi in tutto il mondo. Questa struttura decentralizzata rende quasi impossibile smantellare l’ecosistema nel suo complesso. E finché i profitti continueranno ad affluire, la macchina degli affiliati continuerà a sfornare nuovi attacchi.

Il costo umano e cosa succederà dopo

Dietro ogni titolo sul ransomware ci sono vittime reali - ospedali costretti a fermarsi, scuole bloccate fuori dai propri dati, piccole imprese spinte sull’orlo del baratro. Il boom del ransomware guidato dagli affiliati non è solo un problema tecnico, ma umano. Finché non cambieranno gli incentivi economici e non migliorerà la cooperazione internazionale, l’underworld degli affiliati resterà una forza centrale nel panorama del cybercrimine.

WIKICROOK

• Affiliato: Un affiliato è un criminale o un gruppo indipendente che utilizza strumenti di una più grande organizzazione di cybercrime per lanciare attacchi, condividendo i profitti con il fornitore.
• Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai loro file o sistemi.
• Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai loro file o sistemi.
• Ransom feed: Un Ransom Feed è un sito web in cui i cybercriminali pubblicano dati rubati per fare pressione sulle vittime affinché paghino i riscatti dopo un attacco ransomware.
• Dark web: La Dark Web è la parte nascosta di Internet, accessibile solo con software speciali, dove spesso si svolgono attività illegali e si garantisce l’anonimato.