Volodya, il mercante di vulnerabilità 0-day

Volodya (BuggiCorp) è, secondo Kaspersky, il più importante tra i protagonisti del mercato sotterraneo legato alla distribuzione delle vulnerabilità.

Falle nella sicurezza di Windows vendute al miglior offerente, talvolta per diverse centinaia di migliaia di dollari. Il mercato nero delle vulnerabilità 0-day ha il suo re e come tale rimane per definizione misterioso. Ne parlano oggi i ricercatori di Kaspersky, attraverso le pagine del sito ZDNet, con un articolo che fotografa la portata di un business condotto lontano dai radar, ma con una clientela tutt’altro che di secondo ordine.

Vulnerabilità 0-day vendesi

Si parla di gruppi APT (Advanced Persistent Threats) spesso connessi a realtà governative, che per le loro attività di spionaggio oltre a sviluppare tool in proprio si rivolgono alla scena underground in modo da poter far shopping di exploit da sfruttare a proprio vantaggio. Il report parla di spese che talvolta raggiungono i 160.000-200.000 dollari. Un enorme giro d’affari sotterraneo, che di rado viene alla luce. È accaduto ad esempio nel 2016 quando qualcuno ha messo in vendita, tramite una discussione su un forum pubblico (Exploit.in) e liberamente accessibile da chiunque, una vulnerabilità chiedendo in cambio 85.000-100.000 dollari.

Volodya o BuggiCorp

Quel qualcuno rispondeva allora al nickname BuggiCorp. Ora viene identificato da Kaspersky con un altro appellativo, Volodya, con tutta probabilità diminutivo di Volodimir. Il nome ha origini ucraine, anche se il soggetto sembra avere un’ottima padronanza del russo. Come scritto in apertura, la sua reale identità rimane al momento avvolta dal mistero e non si esclude sia a capo di un’attività strutturata e organizzata, con sviluppatori ed esperti al suo servizio.

Gli viene attribuita la responsabilità di aver diffuso dettagli su come sfruttare la vulnerabilità CVE-2019-0859 emersa nei mesi scorsi e impiegata da gruppi di cybercriminali come FIN6 operanti nel territorio dei servizi finanziari per attività legate a ransomware e altre truffe. Sua anche la vendita della CVE-2016-7255 legata a Windows e adoperata dal gruppo russo APT28  (noto altrimenti come Fancy Bear, Pawn Storm, Sednit, Sofacy o Strontium) per mettere mano alla corrispondenza di alcuni membri del partito democratico USA alla vigilia delle elezioni presidenziali 2016.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Fonte: ZDNet
Chiudi i commenti