Ransomware-as-a-Service (RaaS) è un modello di distribuzione specifico per un particolare tipo di malware, che rappresenta una minaccia significativa per la cybersecurity. Questo schema di affiliazione offre a un maggior numero di aspiranti cybercriminali l’opportunità di sferrare attacchi senza le necessarie competenze tecniche e di programmazione, aumentando così la diffusione degli attacchi ransomware.
Considerato quanto può essere dannoso il ransomware, è particolarmente importante che le aziende comprendano le implicazioni del RaaS per la cybersecurity e i motivi per cui è così cruciale proteggere i sistemi dal ransomware.
Informazioni sul modello Ransomware-as-a-Service (RaaS)
Ransomware-as-a-Service (RaaS) è un modello di business specializzato in un particolare tipo di malware, ovvero il ransomware, che opera nel Dark Web. Per semplificare, si tratta di un’evoluzione dannosa del più tradizionale e legale modello Software as a Service (SaaS), utilizzato da molte grandi aziende tra cui Microsoft, Adobe, Shopify, Zoom e Dropbox. Il modello di business RaaS prevede operatori che creano il ransomware (e spesso un intero ecosistema attorno ad esso) e lo offrono a terzi. I cybercriminali possono “abbonarsi” gratuitamente al servizio Ransomware-as-a-Service (RaaS). Una volta diventati partner del programma, pagano il servizio dopo l’attacco, in forma di percentuale del riscatto.
I cybercriminali che vogliono eseguire attacchi ransomware, ma non hanno il tempo e le capacità di sviluppare il proprio malware, possono semplicemente scegliere una soluzione RaaS sul Dark Web. In questo modo ottengono l’accesso al ransomware e a tutti i componenti necessari, come i pannelli di comando e controllo (C2), i builder (programmi per la creazione rapida di campioni di malware unici), gli aggiornamenti del malware e dell’interfaccia, il supporto, le istruzioni e l’hosting. In questo modo possono sferrare il loro attacco, evitando tutto il lavoro di sviluppo. I malintenzionati possono quindi eseguire una sofisticata catena di attacchi ransomware senza avere alcun tipo di conoscenza o esperienza nello sviluppo di questo tipo di malware.
Gli operatori che offrono soluzioni Ransomware-as-a-Service sviluppano spesso un’intera offerta di prodotti attorno al loro malware, che può includere un’ampia gamma di servizi come forum di community, playbook per attacchi strategici e assistenza clienti. Ciò è particolarmente utile per gli aspiranti cybercriminali che non hanno esperienza nello sferrare attacchi informatici. Ecco alcuni esempi di servizi RaaS aggiuntivi:
- Strumenti di personalizzazione per creare attacchi altamente mirati
- Strumenti aggiuntivi, quali programmi per l’esfiltrazione dei dati
- Forum di community per consigli e discussioni
- Playbook per attacchi strategici
- Istruzioni per la configurazione del pannello e del prodotto
- Manuali che includono una descrizione di strumenti, tattiche e tecniche per gli autori degli attacchi.
Qualunque sia il tipo di Ransomware-as-a-Service che il cybercriminale sceglie di usare, l’obiettivo finale è sempre lo stesso: compromettere la rete di un individuo o di un’organizzazione e rubare o decriptare i dati, per poi indurre l’obiettivo a pagare un riscatto.
Differenza tra malware, ransomware e Ransomware-as-a-Service
Malware è un termine che indica in modo generico qualsiasi tipo di software dannoso utilizzato per ottenere l’accesso non autorizzato a un sistema informatico o a un dispositivo elettronico per un’ampia gamma di scopi, ad esempio il furto di dati o la compromissione di un sistema. Il ransomware, invece, è un malware utilizzato per infettare il sistema preso di mira e criptare o distruggerne i dati. All’obiettivo dell’attacco può essere richiesto di pagare un riscatto (ransom in inglese), per impedire all’autore dell’attacco di divulgare informazioni o per ricevere una chiave di decriptaggio per ripristinare i dati eventualmente criptati.
Quali sono le implicazioni legali del modello Ransomware-as-a-Service (RaaS)?
Dato che il modello RaaS apre le porte a un particolare tipo di cybercrimini e opera sul Dark Web, dovrebbe essere chiaro che l’intero modello di business è illegale. Qualsiasi tipo di coinvolgimento, sia come operatore che come affiliato (“abbonato”), è illegale. Ciò include la messa in vendita di soluzioni RaaS e l’acquisto di un servizio RaaS con l’intento di eseguire attacchi ransomware, violare reti, criptare dati o estorcere riscatti.
Come funziona il modello Ransomware-as-a-Service?
RaaS opera in base a una gerarchia organizzativa. In cima c’è l’operatore, di solito un gruppo che sviluppa il ransomware e lo rende disponibile per la vendita. L’operatore agisce essenzialmente come amministratore, supervisionando tutti gli aspetti delle operazioni commerciali del RaaS, compresa la gestione dell’infrastruttura e dell’interfaccia utente. Spesso, l’operatore gestisce anche il pagamento dei riscatti riscatto e fornisce la chiave di decriptaggio alle vittime che pagano. All’interno del gruppo dell’operatore possono esserci ruoli designati più piccoli, tra cui amministratori, sviluppatori e team di test.
Gli affiliati al RaaS, i “clienti”, acquistano l’accesso al RaaS per utilizzare il ransomware dell’operatore negli attacchi. Individuano le opportunità di attacco e le mettono in opera. Il ruolo dell’affiliato è quello di identificare gli obiettivi, eseguire il ransomware, fissare il riscatto, gestire la comunicazione post-attacco e inviare le chiavi di decriptaggio dopo il pagamento del riscatto.
Nel report recente di Kaspersky per l’Anti-Ransomware Day 2023, sono stati svelati i principali vettori iniziali degli attacchi ransomware nel 2022. Dal report risulta che oltre il 40% delle aziende ha subito almeno un attacco ransomware lo scorso anno, con le piccole e medie imprese che hanno pagato in media 6.500 dollari per il recupero e le aziende più grandi che hanno sborsato ben 98.000 dollari. Lo studio ha individuato i principali punti di ingresso degli attacchi, tra cui lo sfruttamento delle applicazioni rivolte al pubblico (43%), gli account utente compromessi (24%) e le e-mail dannose (12%).
Una volta scaricato nel sistema, il ransomware tenta di disattivare il software di sicurezza degli endpoint. Dopo aver ottenuto l’accesso, l’autore dell’attacco può reinstallare gli strumenti e il malware, in modo da potersi muovere all’interno della rete e quindi diffondere il ransomware. Può quindi inviare una richiesta di riscatto, dopo aver criptato i file. In genere, ciò avviene tramite un file TXT che appare sul computer della vittima, per comunicare che il sistema è stato violato e che occorre pagare un riscatto per ricevere una chiave di decriptaggio e riprendere il controllo.
Quali sono le forme di monetizzazione del modello Ransomware-as-a-Service?
I cybercriminali possono “abbonarsi” gratuitamente al servizio Ransomware-as-a-Service (RaaS). Una volta diventati partner del programma, pagano il servizio dopo l’attacco. L’importo del pagamento corrisponde a una percentuale del riscatto pagato dalla vittima, che in genere varia dal 10 al 40% di ogni transazione. Tuttavia, accedere al programma non è semplice e occorre soddisfare requisiti rigorosi.
Esempi di servizi Ransomware-as-a-Service da conoscere
I cybercriminali sono diventati abili nello sviluppare i loro servizi ransomware, in modo da poter sempre soddisfare le richieste dei “clienti” che acquistano RaaS. Nel Dark Web è disponibile un’ampia gamma di programmi Ransomware-as-a-Service (RaaS) e una panoramica può essere utile per capire come e perché rappresentano una minaccia. Ecco alcuni esempi di Ransomware-as-a-Service (RaaS) diffusi negli ultimi anni.
- LockBit: questo particolare ransomware ha violato le reti di molte organizzazioni sfruttando Server Message Blocks (SMB) e il programma di automazione e gestione della configurazione PowerShell di Microsoft.
- BlackCat: utilizzando il linguaggio di programmazione Rust, questo ransomware è facile da personalizzare e può quindi essere distribuito per attaccare numerose architetture di sistema.
- Hive: un RaaS particolarmente efferato, Hive mette i suoi bersagli sotto notevole pressione, costringendoli a pagare il riscatto rendendo pubblici i dettagli della violazione del sistema e spesso con un conto alla rovescia per la divulgazione delle informazioni rubate.
- Dharma: le e-mail sono il metodo più comune per eseguire attacchi di phishing e questo RaaS, responsabile di centinaia di attacchi, imita questi attacchi prendendo di mira le vittime attraverso allegati alle e-mail.
- DarkSide: il malware di questo gruppo di ransomware è ritenuto responsabile della violazione della Colonial Pipeline del 2021.
- REvil: forse il gruppo RaaS di più ampia diffusione, questo ransomware è stato responsabile degli attacchi del 2021 a Kaseya, che hanno colpito circa 1.500 organizzazioni, e a CAN Financial.
10 suggerimenti per proteggere i dispositivi dal ransomware
Il ransomware è solo una delle numerose minacce di cui bisogna essere consapevoli quando si è online e dalle quali recuperare può essere impegnativo e costoso. Sebbene sia impossibile neutralizzare completamente queste minacce, esistono numerose misure e best practice che possono migliorare la cybersecurity contro RaaS e, di fatto, mitigare molti attacchi digitali. Ecco 10 suggerimenti per proteggere i dispositivi elettronici dal ransomware:
- Esegui regolarmente il backup dei dati su un dispositivo separato e, se necessario, crea più copie di backup. Le organizzazioni dovrebbero disporre anche di un piano di recupero dei dati in caso di attacco.
- Usa un software di protezione degli endpoint efficace che esegue regolarmente una scansione e rimuove le potenziali minacce.
- Assicurati che tutto il software sia aggiornato e dotato delle ultime patch di sicurezza.
- Abilita l’autenticazione a più fattori o biometrica, quando possibile.
- Ricordati dell’igiene delle password: usa un gestore di password affidabile per generare e memorizzare password complesse e crea credenziali di accesso diverse per account diversi.
- Implementa un software di scansione delle e-mail di alto livello per individuare le e-mail dannose e i potenziali attacchi di phishing.
- Sviluppa una politica efficace di cybersecurity e mantienila aggiornata. Presta attenzione al perimetro esterno e crea una politica di cybersecurity completa che copra l’intera organizzazione. Questa politica deve inglobare anche i protocolli di sicurezza per l’accesso remoto, i fornitori terzi e i dipendenti.
- Poiché le credenziali rubate possono essere messe in vendita sul Dark Web, utilizza Kaspersky Digital Footprint Intelligence per monitorare le risorse shadow e identificare tempestivamente le minacce correlate.
- Rispetta il principio dei privilegi minimi per limitare al massimo l’accesso amministrativo o al sistema al minor numero possibile di persone.
- Implementa un programma di formazione di sensibilizzazione sulla sicurezza che copra la cybersecurity per RaaS e altre potenziali minacce.
- Evita di fare clic sui collegamenti nelle e-mail a meno che la fonte non sia nota e affidabile. In caso di dubbi, digita l’indirizzo del sito Web nella barra di ricerca del browser e naviga fino alla pagina manualmente.
Naturalmente, anche le misure di protezione più rigorose non sono sempre in grado di prevenire un attacco ransomware. Anche se accade il peggio, ci sono ancora alcune opzioni per mitigare le conseguenze di questi attacchi.
La persistente minaccia di Ransomware-as-a-Service
Il ransomware è un problema di cybersecurity di per sé, ma il modello di business Ransomware-as-a-Service ha trasformato questo particolare malware in una minaccia molto più grande, dando la possibilità a un maggior numero di potenziali cybercriminali di sferrare questi attacchi senza alcuna esperienza o conoscenza particolare. Dato che questi attacchi possono avere gravi implicazioni finanziarie per le organizzazioni o i singoli individui che ne sono bersaglio, è importante conoscere i vari metodi a disposizione per proteggere i sistemi. Molti sono best practice di base per la cybersecurity, ma è consigliabile che le organizzazioni prendano in considerazione anche altre iniziative, come la formazione sulla sicurezza e il backup regolare in sistemi diversi.