raas ransomware as a service

RaaS – Ransomware as a Service, un nuovo modello di business

Dirompenti, letali e sempre più diffusi: ecco il nuovo modello di business dietro gli attacchi informatici ransomware

Come abbiamo più volte sottolineato, il ransomware o virus del riscatto, sembra essere una delle forme di attacco informatico sempre più in voga negli ultimi tempi. Negli anni il classico modello di malware ha subito continue evoluzioni ed è stato largamente sfruttato dalle organizzazioni di criminali informatici di tutto il mondo.

Ma come si presenta la nuova frontiera dei ransomware secondo gli esperti?

Secondo quanto abbiamo potuto constatare, i ransomware si sono spostati da un modello lineare a uno più insidioso oggi definito ransomware as a service.
In buona sostanza, questa nuova configurazione permette da un lato di avere lo sviluppatore del cryptovirus. Lo sviluppatore sarà colui che si occupa degli aspetti tecnici legati al funzionamento del malware. Mentre parallelamente, compare la figura del cliente che acquista il pacchetto software malevolo e sceglie deliberatamente il target di vittime e ambiente da colpire. Sarà anche lo stesso soggetto che si occuperà della sua diffusione.

Quando si parla di attacchi informatici è bene avere presente non solo come si comporta un virus, come può raggiungere la nostra rete informatica o che danni può provocare. Gli attacchi informatici hanno quasi sempre un movente ben preciso, ed è il denaro. Per questo motivo è bene capire in che modo evolvono i modelli di business delle organizzazioni criminali in funzione del raggiungimento del loro obiettivo. La logica che perpetra dietro questi nuovi servizi è: se non sai scrivere il codice di un malware ma hai in mente una vittima da attaccare o un ambiente vulnerabile che vuoi colpire, puoi facilmente ovviare la prima parte.

Ma entriamo nel dettaglio della tematica. Ecco il nostro articolo sui RaaS ovvero, i ransomware acquistabili come servizi.

Indice dell’articolo

Cosa sono i Ransomware

Gli attacchi Ransomware sono tra i più remunerativi per la criminalità informatica e tra i più dannosi per le vittime.

In particolare, si distinguono dall’azione dai restanti virus informatici per una specifica funzionalità: rendono inutilizzabili interi sistemi informatici, ne rendono inaccessibili i dati contenuti, tramite metodi di crittografia complessi.

Inoltre, il ransomware provoca il blocco di ogni funzionalità del dispositivo e impedisce l’accesso ai dati di qualsiasi entità: cartelle, file, immagini, interi database.

L’unico spiraglio di luce per la vittima che desidera riacquisire tutto il materiale perso è vincolato al pagamento di un riscatto.
Ebbene sì, il ransomware è perfettamente in grado in questo caso di danneggiare il malcapitato ben due volte: tramite la sottrazione di dati e tramite l’estorsione di denaro (bitcoin) grazie alla quale la vittima può sperare un’ultima volta di veder il proprio patrimonio di informazioni.

Esistono diverse versioni ransomware create da gruppi hacker che tuttavia vengono rivendute ad altri utenti che le utilizzano per colpire vittime ignare. Ecco il curioso caso del nuovo protocollo Ransomware-as-a-Service (RaaS).

ransomware as a service raas

RaaS o Ransomware as a Service: il modello di affari e i soggetti coinvolti

Il Ransomware come Servizio o RaaS è una strategia imprenditoriale che include un nuovo soggetto nel processo dell’attacco informatico.

Da una parte abbiamo infatti le classiche organizzazioni di sviluppatori di malware con le competenze tecniche per scrivere il codice di un ransomware.
Questi dopo aver sviluppato e distribuito con successo il proprio prodotto (in questo caso il ransomware) continueranno a concentrare i loro sforzi nel perfezionare e rendere sempre più letale il proprio prodotto mettendolo a disposizione sotto forma di servizio in abbonamento.

Dall’altra parte troveremo quindi una platea di nuovi soggetti, senza competenze tecniche necessarie per creare un malware, che si affilieranno all’organizzazione criminale e si occuperanno di individuare gli obbiettivi e gli strumenti per la distribuzione del Ransomware.

Si può trattare di campagne massive di Phishing, sfruttamento di falle di sicurezza o vulnerabilità nei sistemi informatici, oppure obbiettivi mirati.

Appare evidente che così facendo possono aumentare esponenzialmente il numeri di attacchi e non di meno la loro precisione.
Come indotto del modello RaaS, possono entrare in gioco altri soggetti (come l’esperto in accesso ai sistemi informatici) che possono vendere all’acquirente del ransomware i propri servizi o le informazioni raccolte per penetrare nei sistemi desiderati. Oppure, un soggetto complice interno all’organizzazione, reclutato dai criminali informatici per fornire credenziali di accesso o introdurre direttamente lo strumento di distribuzione del malware all’interno dell’organizzazione vittima.

Come reperirli e come si accede al servizio di RaaS

La domanda sorge spontanea:

Come si accede a questo genere di servizi?
Dove è possibile trovarli?

Esiste una parte “sommersa” del web, detta Dark Web (attenzione a non confonderla con il deep web) nella quale è possibile reperire molte attività e strumenti illegali tra cui i malware RaaS.

Ma che cosa significa che i Ransomware as a service si trovano nel dark web?

Il dark web è costituito da un insieme di siti web ospitati su server accessibili solo attraverso tecnologie come TOR e non attraverso i comuni motori di ricerca.
Per tornare al nostro ambito, è in questo ambiente web che proliferano i portali RaaS. Possono essere ambienti simili ad e-commerce in cui gli sviluppatori offrono direttamente i loro prodotti. O addirittura, talvolta si presentano come forum gestiti da altre organizzazioni criminali per mettere in contatto criminali e sviluppatori o ancora, criminali e acquirenti.

Ancor più semplicemente, sono ambienti digitali all’interno dei quali l’utente crea un proprio account, sceglie la tipologia di malware che desidera acquistare ed infine paga con Bitcoin.

Alcune organizzazioni mettono a disposizione degli affiliati dei veri e propri pannelli di controllo dove poter personalizzare la propria versione di Ransomware e monitorarne la resa in termini di infezioni, il tutto pagando un abbonamento mensile o annuale. Le transazioni ovviamente avverranno sempre tramite criptovalute. I proventi delle estorsioni verranno in seguito divisi in base al tipo di servizio acquistato e in base all’entità dei riscatti estorti.
Si parla generalmente di percentuali che vanno dal 10 al 30% trattenuti dalle organizzazioni RaaS, per un giro di affari nell’ordine delle centinaia di milioni di dollari.

Aziende attaccate da RaaS: casi recenti

Per quanto gli addetti ai lavori sappiano che le violazioni, anche di organizzazioni importanti, siano all’ordine del giorno, solamente nel mese di agosto gli organi di stampa italiani hanno dato risalto ad alcuni casi eclatanti di infezioni Ransomware.

Stiamo parlando dell’attacco alla Regione Lazio, avvenuto in realtà il 30 luglio, e di altri due bersagli eccellenti come ERG e Accenture. In tutti questi casi si è trattato di ransomware sviluppati da gruppi cybercriminali che adottano il modello RaaS.

Nel caso della Regione Lazio si è trattato del ransomware RansomEXX, e da quello che è stato reso noto dagli organi di informazione, tra varie smentite e conferme, pare che l’infezione sia partita da una email di phishing aperta da un dipendente collegato in VPN, e l’estorsione si sia limitata ad una semplice richiesta di riscatto in cambio della chiave di decifratura. Nonostante molti abbiano avanzato dubbi sulla possibilità che sia stato pagato il riscatto, la versione ufficiale rimane quella del ripristino dei sistemi dai backup.

Questa infezione ha messo a rischio i dati di circa 5 milioni di utenti e ha paralizzato per diversi giorni il servizio di prenotazione delle vaccinazioni: oltre 10 giorni.

Per quanto riguarda ERG e Accenture, l’infezione è stata generata tramite ransomware  LockBit 2.0 e la minaccia è stata del tipo Double Extortion, ovvero doppia estorsione: non solo i dati sono stati cifrati, ma sono stati anche trafugati con la minaccia di pubblicazione in caso di mancato pagamento del riscatto.

Il caso curioso riguarda proprio Accenture, che forse nel tentativo di ridurre il danno di immagine e quello economico davanti agli investitori, ha postato su Twitter una rassicurazione circa il basso rischio della violazione. L’organizzazione criminale ha risposto schernendo la qualità dei servizi offerti dalla multinazionale, e allo scadere dell’ultimatum ha pubblicato sul blog del gruppo criminale più di 2000 files prelevati alla società. Una vera doccia fredda.

Per concludere, come ci si difende?

Difendersi dai ransomware e dai modelli di sviluppo/distribuzione sempre più efficienti, risulta ogni giorno più complesso. Ma certamente non impossibile.

Nel complesso, vi esortiamo a non cedere mai al pagamento di un riscatto in caso di attacco ransomware. La prevenzione è sempre la strada giusta per non porsi davanti a questo tipo di scelta. Ogni organizzazione che abbia a cuore la sicurezza dei propri dati e la continuità lavorativa deve ricordarsi di:

  • Formare il personale nell’uso consapevole degli strumenti informatici; educarli alla prudenza nell’apertura di email e allegati, nella navigazione internet, e nella gestione delle credenziali di sicurezza.
  • Mantenere aggiornati e monitorati tutti i sistemi, dagli apparati di rete ai server, PC e dispositivi connessi alla propria rete dati.
  • Utilizzare soluzioni antivirus e anti malware affidabili.
  • Stabilire policy di sicurezza informatica adeguate nel flusso del lavoro e dei dati.
  • Predisporre e monitorare un sistema di backup efficiente.

Tutto questo potrebbe fare la differenza: lavorare serenamente e concentrarsi sulla produttività della propria azienda o combattere con perdita di dati, fermi lavoro, perdite economiche e danni d’immagine. Essere consapevoli delle azioni per mettere in sicurezza la propria azienda significa spesso essere consapevoli di non essere in grado di valutare in proprio la bontà delle azioni intraprese. Per questo motivo diventa fondamentale rivolgersi ad un consulente cyber security qualificato. Resta inteso che sfruttare strumenti come il Vulnerability Assessment aiuta le aziende a individuare ogni genere di falla di sicurezza.

consulenti cybermenti

Articolo di:

Consulente Cyber Security per Cyberment

  • Responsabile Settore Tecnico IT

Visita il profilo Linkedin

consulenti cybermenti

Articolo di:

Consulente Cyber Security per Cyberment

  • Responsabile Settore Tecnico IT

Visita il profilo Linkedin