Che cos'è il ransomware-as-a-service (RaaS)?
Informazioni sul Ransomware-as-a-Service (RaaS)
Il Ransomware-as-a-Service (RaaS) è un modello di criminalità informatica in cui i cybercriminali forniscono strumenti e infrastrutture ransomware ad altri individui o gruppi, noti come affiliati, che mirino a condurre attacchi ransomware mirati al profitto. Solitamente, i servizi RaaS vengono erogati su abbonamento, proprio come una piattaforma SaaS (software-as-a-Service) legittima. Il modello RaaS consente ai cybercriminali privi di conoscenze tecniche di lanciare con facilità campagne di attacco ransomware rapide mirate al profitto.
Che differenza c’è tra il RaaS è il ransomware tradizionale?
A differenza del ransomware tradizionale, il RaaS prevede la distribuzione di pacchetti software pronti all'uso progettati proprio per lanciare un attacco ransomware. Tali pacchetti sono disponibili agli abbonati che pagano per la loro affiliazione al programma e ricevono quindi le versioni del ransomware aggiornate. La transizione verso questo modello di servizio ha trasformato il ransomware, permettendo ai suoi sviluppatori di focalizzarsi sulle funzionalità per lasciare la parte più complessa, ovvero l'ottenimento dell’accesso e la distribuzione del malware ai propri clienti, ovvero gli affiliati. Questi cybercriminali possono avvalersi di un'ampia gamma di stili di attacco, software e competenze per svolgere la propria attività.
Per quanto l'esecuzione di un attacco RaaS richieda un minimo di competenze tecniche da parte dell'affiliato, gli strumenti ransomware attualmente disponibili sono sempre più sofisticati. Molti di questi vengono progettati e utilizzati da Initial Access Broker (IAB), che hanno passato anni ad affinare le loro tecniche cybercriminali. E ora, il dark Web consente a chiunque abbia una carta di credito di acquistarne uno.
Ecco alcune differenze tra la modalità RaaS rispetto al ransomware tradizionale:
1. Modello Perpetrator
Negli attacchi ransomware tradizionali, sono i cybercriminali stessi a sviluppare e distribuire il ransomware per infettare i sistemi e richiedere i riscatti. Il modello RaaS, invece, consente ai cybercriminali altamente qualificati di distribuire i loro strumenti ad altri criminali meno dotati di competenze tecniche ma con più risorse economiche, che potranno lanciare gli attacchi ransomware senza aver creato il malware di per sé. Ora come ora, per un cybercriminale è più facile ed economico che mai ottenere pacchetti ransomware dai fornitori RaaS e iniziare a lanciare attacchi. Per questi affiliati, si tratta semplicemente di un costo dell’attività economica rispetto al lancio di un attacco ransomware di successo.
2. Accessibilità
Il ransomware richiede competenze tecniche in termini di sviluppo, manutenzione e distribuzione. Tuttavia, il RaaS riduce le barriere all'accesso per i cybercriminali grazie all’offerta di pacchetti ransomware preconfigurati e facili da usare. Alcuni provider offrono addirittura l’assistenza clienti ai loro affiliati, proprio come un'attività SaaS legittima.
3. Distribuzione e raggio d’azione
I creatori di ransomware tradizionali hanno i propri limiti quando si tratta di infettare i sistemi. I provider RaaS possono invece attrarre l’attenzione di più affiliati per distribuire più ampiamente il proprio ransomware. Questo modello distribuito si traduce in campagne di attacco più estese e diffuse.
4. Modello di business a ripartizione dei profitti
I provider RaaS offrono solitamente ai loro affiliati un modello a ripartizione dei profitti, trattenendo una percentuale dei riscatti pagati agli affiliati stessi. La promessa di una quota dei profitti è un potente incentivo per i provider di RaaS, il cui unico compito è quello di sviluppare ransomware più efficaci ed elusivi per massimizzare i profitti condivisi. Dopotutto, saranno gli affiliati a lanciare le loro campagne.
5. Innovazione e varianti
Grazie alla maggiore estensione della base di cybercriminali che utilizza il ransomware, i provider RaaS spesso ricevono feedback dagli affiliati sull'efficacia del malware e su eventuali difetti o problemi in merito al rilevamento. Proprio come con una software house legittima, tale feedback consente sia innovazioni più rapide che lo sviluppo di nuove varianti ransomware migliorative rispetto all'ultima versione.
6. Anonimato
Il RaaS è in grado di assicurare l’anonimato ai veri creatori del ransomware. Sono gli affiliati a distribuire il malware e a interagire direttamente con le vittime, esponendosi a maggiori rischi di identificazione.
È fondamentale restare informati sugli ultimi sviluppi delle varianti RaaS e verificare che le proprie difese di cybersecurity siano sempre aggiornate per assicurare protezione contro queste minacce.
Come funziona il Ransomware-as-a-Service?
Gli operatori RaaS creano e mantengono il software ransomware, gestendone l'infrastruttura di distribuzione, i meccanismi di crittografia e l'elaborazione dei pagamenti. Gli affiliati si iscrivono al servizio software e, in cambio di una parte dei profitti, ottengono l'accesso al toolkit ransomware e al pannello di controllo. Gli affiliati sono quindi responsabili della distribuzione del ransomware tramite diversi vettori di attacco, come le e-mail di phishing o i kit exploit. In alcuni casi, gli affiliati lavorano anche tramite i cosiddetti Initial Access Broker (IAB) per ottenere l'accesso non autorizzato ad aziende o individui compromessi. In sostanza, qualsiasi aspetto rilevante di un attacco ransomware viene esternalizzato e l'affiliato deve semplicemente eseguire.
Che cos'è un Initial Access Broker (IAB)?
Gli IAB (Initial Access Broker) sono cybercriminali informatici che vendono l'accesso alle reti violate e ai dati aziendali compromessi. Gli IAB dispongono di un’eccellente preparazione tecnica e mettono a disposizione un set specializzatissimo di nefaste competenze in cybersecurity, di solito sviluppate in molti anni di hacking cosiddetto “Black Hat”. Proprio tali competenze consentono agli IAB di ottenere l'accesso non autorizzato alle reti protette.
I vettori di attacco più comuni di un IAB includono il social engineering, gli attacchi di phishing, le vulnerabilità ed exploit e le acquisizioni di account. Una volta ottenuto l’accesso da parte degli IAB, il passo successivo è vendere tale accesso ad altri criminali nei forum clandestini online sul dark Web. Gli acquirenti sono gruppi ransomware mirati il cui obiettivo è accedere a reti violate e sistemi compromessi per i loro attacchi ransomware.
Quali sono gli obiettivi primari degli attacchi RaaS?
Solitamente, gli attacchi RaaS prendono di mira un'ampia gamma di vittime: individui, piccole e grandi imprese, organizzazioni governative e altre entità che dispongano di dati preziosi. L’obiettivo dei cybercriminali è massimizzare i profitti infettando quanti più sistemi vulnerabili possibile.
Ecco come vengono scelte solitamente le vittime di questi cybercriminali:
- Settori presi di mira: I cybercriminali RaaS spesso prendono di mira i settori che più probabilmente saranno disposti a pagare un riscatto per riottenere l'accesso a dati o sistemi critici. Settori come la sanità, la finanza, la pubblica amministrazione e le grandi multinazionali vengono presi di mira per le maggiori probabilità di pagamenti consistenti e della natura sensibile dei loro dati. Gli affiliati RaaS possono inoltre avere informazioni su settori specifici o sull'accesso a reti compromesse, che utilizzano per selezionare i loro obiettivi.
- Geografia: I cybercriminali possono privilegiare le vittime ubicate in aree geografiche specifiche, in base a diversi fattori. Magari alcune regioni hanno una maggiore concentrazione di sistemi vulnerabili o di dati preziosi, mentre altre hanno un livello inferiore di consapevolezza e preparazione alla cybersecurity.
- Scansione alla ricerca di vulnerabilità: I cybercriminali si avvalgono di strumenti automatizzati per eseguire scansioni su Internet alla ricerca di sistemi vulnerabili con punti deboli nel software, applicazioni prive di patch o configurazioni errate. Sfruttano poi queste vulnerabilità per ottenere l’accesso non autorizzato e distribuire ransomware.
- Dati dagli IAB: I cybercriminali possono acquistare dati contenenti informazioni su potenziali vittime da fonti sul mercato nero, come gli IAB. Questi dati possono includere elenchi di e-mail, dettagli sui dipendenti o informazioni sulle vulnerabilità delle organizzazioni prese di mira.
- Potenziale di profitto: Gli aggressori valutano il potenziale di riuscita di un attacco e le probabilità che la vittima sia disposta a pagare il riscatto. Gli operatori RaaS sono ovviamente più interessati agli obiettivi di alto valore con una maggiore capacità di pagamento.
- Fattori socioeconomici e politici: In alcuni casi, gli aggressori possono essere motivati da ragioni economiche o politiche. Possono prendere di mira organizzazioni o istituzioni in grado di causare disagi o notevoli imbarazzi a governi o aziende. È importante sottolineare che queste varianti RaaS sono state utilizzate anche da stati canaglia, impegnati nel cybercrimine per creare instabilità e panico. Ad esempio, la variante DarkSide RaaS è stata collegata a un potente attacco informatico contro Colonial Pipeline, con sede in Georgia. La conseguenza dell'attacco è stata l'interruzione della fornitura di carburante lungo la costa orientale degli Stati Uniti.
- Cronologia: A volte, gli operatori RaaS conservano elenchi delle vittime degli attacchi riusciti che abbiano pagato il riscatto in passato. Potrebbero prendere nuovamente di mira queste organizzazioni, ritenendole disposte a pagare nuovamente per evitare la divulgazione pubblica dell’attacco subito in precedenza.
Quali sono le varianti RaaS più diffuse?
Con la costante evoluzione del panorama delle minacce, continuano a emergere nuove varianti RaaS. Tra le varianti RaaS più conosciute, ricordiamo REvil (Sodinokibi), DarkSide, Ryuk e GandCrab. Nel tempo, nuove varianti RaaS continuano a emergere. Una variante conosciuta come Dharma o Crysis ha diverse ulteriori varianti, a causa della continua vendita e modifica del suo codice sorgente a più sviluppatori di malware. Nel marzo 2020, una raccolta di codice sorgente per una variante di Dharma è stata proposta in vendita su forum criminali in lingua russa per $ 2.000, tramite un intermediario.
In che modo il Managed Detection and Response può contribuire alla protezione della mia organizzazione dagli attacchi RaaS?
È bene sottolineare che le tattiche e le tecniche utilizzate dai cybercriminali sono in continua evoluzione. Per garantire che la tua organizzazione stia utilizzando la tecnologia più recente per proteggersi dagli attacchi ransomware, l’adozione di un modello di cybersecurity-as-a-service è fortemente consigliato. Dopo tutto, i cybercriminali stanno sfruttando questo stesso modello di erogazione dei servizi per distribuire malware ai loro target. Non dovrebbe forse utilizzarlo anche la tua organizzazione per difendersi da tali attacchi?
MDR (Managed Detection and Response) è la strategia più efficace contro gli attacchi Ransomware-as-a-service. Offre accesso immediato a un SOC (Security Operations Center) di primissima categoria popolato da alcuni dei migliori analisti ed esperti in cybersecurity, data science e intelligence sulle minacce. MDR è un servizio di cybersecurity completo offerto da un partner terzo per aiutare le organizzazioni nell’attenuazione del ransomware.
Ecco come l’MDR può proteggerti dagli attacchi RaaS:
1. Monitoraggio delle minacce in tempo reale
MDR monitora ininterrottamente e in tempo reale la rete e gli endpoint, per individuare attività sospette e potenziali indicatori di attacchi ransomware. Nel SOC vengono impiegati strumenti e tecniche di rilevamento delle minacce allo stato dell’arte per identificare eventuali pattern comportamentali insoliti che potrebbero indicare la presenza di attività ransomware.
2. Threat hunting con la supervisione dei nostri esperti
I team MDR sono esperti nel ricercare proattivamente le minacce. Ricercano possibili tracce delle attività ransomware che potrebbero aver bypassato le tradizionali misure di sicurezza. Ciò comporta l'analisi dei log, del traffico di rete e di altri dati per portare alla luce le minacce nascoste prima che causino danni rilevanti.
3. Incident Response tempestiva
In caso di attacco ransomware, il tempo è fondamentale. I provider MDR dispongono di team di incident response esperti, in grado di valutare rapidamente la situazione, contenere la diffusione del ransomware e sviluppare strategie in grado di eliminare efficacemente la minaccia dai tuoi sistemi.
4. Analisi del comportamento dell’utente
Gli attacchi ransomware-as-a-service sfruttano spesso tecniche sofisticate di elusione del rilevamento. MDR utilizza l'analisi comportamentale e il rilevamento delle anomalie per identificare i comportamenti nocivi, anche in caso di ransomware nuovo o attualmente sconosciuto.
5. Endpoint Security
Oltre al tradizionale software antivirus, MDR include la protezione avanzata degli endpoint e si avvale di strumenti di sicurezza endpoint next-gen per rilevare e bloccare il ransomware prima che venga eseguito sugli endpoint stessi.
6. Condivisione di informazioni sulle minacce
I provider MDR hanno a disposizione approfondite fonti di intelligence sulle minacce, grazie alle quali sono in grado di restare aggiornati sulle ultime tendenze e tattiche ransomware e difendersi proattivamente da quelle emergenti.
7. Gestione Patch
MDR assicura che i sistemi restino aggiornati con le patch e gli aggiornamenti di sicurezza più recenti. I software obsoleti possono presentare vulnerabilità agli attacchi ransomware, ma una corretta gestione delle patch minimizza tali rischi.
8. Sensibilizzazione degli utenti e formazione
I servizi MDR includono spesso l'addestramento dei dipendenti sui rischi e le best practice rispetto al ransomware, per evitare che possano cadere vittima del phishing e delle altre tecniche di social engineering comunemente utilizzate nelle campagne ransomware. La formazione con simulazioni di phishing è un esempio di quello che può essere offerto da un provider MDR per rinforzare l'anello più debole negli attacchi RaaS: gli utenti finali.
9. Backup e ripristino dei dati
I provider MDR non mancano mai di sottolineare quanto sia importante eseguire regolarmente il backup dei dati e contribuiscono alla creazione di solidi processi di backup e ripristino. Se un attacco ransomware ha successo, sarà l'affidabilità dei backup a minimizzarne l'impatto, eliminando la necessità di pagare il riscatto.
10. Analisi dopo la risoluzione dell’incidente
Dopo un attacco ransomware e la risoluzione dell’incidente, i provider MDR conducono analisi approfondite per identificare vulnerabilità e punti deboli nell'infrastruttura di sicurezza. Questo contribuisce al miglioramento della resilienza futura contro attacchi analoghi.
La combinazione di questi elementi nel Managed Detection and Response può migliorare significativamente la capacità della tua organizzazione di difendersi dagli attacchi ransomware-as-a-service e attenuare i potenziali danni in caso di incidente, grazie a un approccio proattivo e completo alla cybersecurity che va a integrare le tradizionali misure di sicurezza per permettere alle organizzazioni di restare un passo avanti rispetto alle minacce informatiche.
L’approccio Sophos al Ransomware-as-a-Service
La maggior parte degli attacchi di ransomware ormai prevede una combinazione tra diverse tecniche avanzate e l’hacking in tempo reale. Minimizzare il rischio di cadere vittima di questi attacchi richiede misure avanzate di cybersecurity in grado di monitorare e proteggere l'intera superficie di attacco. Nessuno è più veloce degli esperti Sophos Managed Detection and Response (MDR) nel monitorare, rilevare e neutralizzare le minacce RaaS. Per saperne di più su come il nostro team abbia rilevato moltissime varianti RaaS nel corso degli anni, visita il nostro Ransomware Intelligence Center. Oppure, contatta subito un esperto Sophos MDR.
Report Sophos La Vera Storia Del Ransomware 2024
Qual è la probabilità che la tua azienda possa essere colpita dal ransomware? Quanti dei tuoi computer verrebbero coinvolti? Trova la risposta a queste domande e molto di più nel report Sophos La Vera Storia Del Ransomware 2024.

Argomento di sicurezza correlato: Cos’è un attacco Business Email Compromise (BEC)?