Un report di Symantec tratteggia l’evoluzione di questi strumenti, ormai venduti online completi di supporto e anche di aggiornamento periodico.
I kit per attacchi sono programmi software che possono essere utilizzati indistintamente sia da principianti che da esperti, per lanciare attacchi di grandi proporzioni su computer collegati in rete.
Questi kit permettono all’attaccante di lanciare, in maniera semplice, minacce preconfezionate sui sistemi informativi. Inoltre tali kit permettono di personalizzare le minacce per evitare di essere individuati e per automatizzare il processo di attacco.
Attualmente vengono venduti spesso in abbonamento unitamente ad aggiornamenti regolari, a estensioni e servizio di supporto. Periodicamente i cybercriminali pubblicizzano i servizi di installazione, noleggiano l’accesso limitato alle console e ovviamente sfruttano ottimi sistemi di anti-pirateria per prevenire che gli attaccanti utilizzino gli strumenti senza pagare.
Secondo il report di Symantec, del quale disponibile anche un executive summary, i kit per attacchi stanno portando il cyber-crimine verso un modello di grande valore economico.
Sono emersi anche servizi secondari per spingere gli utenti sprovveduti su siti malevoli, dove i loro computer possono essere compromessi. Le tattiche usate comprendono campagne spam, black hat, search engine optimization (SEO), l’inserimento di codici in siti legittimati e pubblicità malevole.
Uno dei kit più importanti, Zeus, ha rappresentato una seria minaccia per le piccole imprese. L’obiettivo principale di Zeus era quello di rubare le credenziali degli account bancari e, sfortunatamente, le piccole imprese hanno delle misure di sicurezza inferiori per proteggere le loro transazioni finanziarie e questo le ha rese un target primario per Zeus.
I vantaggi economici ottenuti dall’uso del codice malevolo creato con Zeus sono stati recentemente evidenziati dall’arresto, nel settembre 2010, di un gruppo di cybercriminali che ha rubato oltre 70 milioni di dollari da una banca online per poi vendere account per oltre 18 mesi.
