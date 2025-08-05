Il ransomware-as-a-Service (RaaS) è emerso come modello di business rivoluzionario in cui gli hacker combinano le funzionalità del ransomware tradizionale con l'accessibilità dei servizi cloud. Questa mossa li ha aiutati a trasformare una sofisticata estorsione digitale in un'economia basata su abbonamento, disponibile per quasi chiunque abbia intenzioni malevole.
Storicamente, gli attacchi ransomware venivano effettuati principalmente da attori delle minacce tecnicamente esperti che scrivevano il proprio malware, lo distribuivano tramite phishing o kit, e negoziavano direttamente con la vittima. Ma in questo modello tradizionale c'erano dei limiti, come la limitata scalabilità, l'esposizione al rischio e la necessità di un ampio set di competenze.
Poi è entrato in gioco il modello RaaS. In questo modello, gli sviluppatori di ransomware creano strumenti malware robusti e li affittano ai loro clienti o affiliati che effettuano gli attacchi reali. Gli sviluppatori ricevono dal 20% al 40% dei profitti, mentre gli affiliati prendono la quota rimanente.
Ciò ha reso la criminalità informatica più accessibile, consentendo anche a persone con competenze limitate di sferrare attacchi potenti utilizzando strumenti avanzati.
Newsletter di settore
Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e altro con la newsletter Think. Leggi l'Informativa sulla privacy IBM.
L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.
RaaS è un modello di business basato sulla criminalità informatica in cui hacker professionisti, chiamati sviluppatori, creano e vendono o noleggiano strumenti ransomware già pronti ad affiliati (altri criminali) che li utilizzano per sferrare attacchi. Le fasi sono molteplici, come spiegato di seguito.
Lo sviluppatore o l'operatore progetta il payload del ransomware. Le caratteristiche solitamente includono:
Alcune famiglie sofisticate includono persino caratteristiche modulari, come la diffusione simile a worm, l'evasione sandbox e la crittografia.
Una volta creato il malware, viene confezionato e reso disponibile tramite marketplace darknet o forum privati. Queste piattaforme assomigliano a siti SaaS legittimi e le loro caratteristiche includono:
Alcuni gruppi RaaS hanno persino portali di servizio clienti per aiutare gli affiliati a risolvere i problemi nella distribuzione.
Secondo Crowdstrike, i kit RaaS sono pubblicizzati sui marketplace del dark web e includono supporto 24/7, offerte in bundle, recensioni, forum e altre caratteristiche identiche a quelle offerte dai fornitori SaaS legittimi.
Gli affiliati sono in genere altri criminali informatici che non sono talentuosi quanto gli sviluppatori di ransomware, tuttavia possono diffondere il ransomware attraverso il loro accesso a reti reali.
Nelle grandi operazioni RaaS, il reclutamento è solitamente gestito da responsabili affiliati o reclutatori. Una persona dedicata o un piccolo team individua, seleziona e integra gli affiliati. Nelle piccole o nuove operazioni RaaS, il reclutamento viene solitamente effettuato dagli sviluppatori o dagli operatori stessi.
Il reclutamento avviene spesso tramite più fonti, tra cui piattaforme di messaggistica privata come Telegram o Jabber, forum del dark web o inviti a gruppi privati.
Gli sviluppatori possono valutare attentamente gli affiliati prima di consentire loro di unirsi al gruppo. In cambio, gli affiliati ottengono l'accesso al ransomware, alla documentazione e agli strumenti. A volte puntano al reclutamento basato sulla reputazione. In rare occasioni, gli aggressori potrebbero utilizzare falsi annunci di lavoro nel settore IT o piattaforme freelance per reclutare persone senza saperlo o per testare le loro competenze.
Gli affiliati gestiscono la distribuzione del ransomware utilizzando molteplici fonti, tra cui:
In alcuni casi, gli affiliati distribuiscono anche tecniche di doppia estorsione, in cui prima rubano i dati prima di criptarli, poi minacciano di pubblicarli se la vittima non paga il riscatto.
Una volta crittografati i sistemi, il ransomware visualizza un messaggio con le istruzioni di pagamento. Questi criminali solitamente richiedono criptovalute come Bitcoin. Nella richiesta di riscatto vengono fornite istruzioni dettagliate, tra cui come utilizzare Tor e i crypto wallet.
Alla vittima vengono forniti i link dei portali di negoziazione. Questi portali sono in genere ospitati su TOR. Alcuni gruppi RaaS automatizzano queste conversazioni utilizzando chatbot, mentre altri gruppi mettono a disposizione operatori umani per gestire la negoziazione dei prezzi.
Questi gruppi dividono chiaramente le loro responsabilità. Gli affiliati sono responsabili dell'implementazione del ransomware, dell'invio della richiesta di riscatto, della comunicazione iniziale e della gestione della negoziazione. Lo sviluppatore principale o il team di sviluppatori forniscono il backend ospitando portali, verificando i pagamenti e distribuendo le chiavi di decrittazione.
Quando questi gruppi riescono a estorcere il denaro alla vittima, dividono il profitto secondo l'accordo. L'importo concordato va allo sviluppatore e il resto sarà trattenuto dall'affiliato.
Esistono diversi modelli sotto cui operano i RaaS. Essi includono quanto segue:
Alcune delle bande di ransomware più popolari che operano secondo il modello RaaS includono:
Per rimanere protette dai RaaS, le aziende dovrebbero scegliere una strategia di difesa multilivello, tra cui:
Il ransomware-as-a-Service ha abbassato le barriere d'ingresso nella criminalità informatica, permettendo anche agli attaccanti poco qualificati di lanciare campagne devastanti. Grazie a operazioni ben organizzate, reti di affiliazione e modelli di condivisione degli utili, il RaaS continua a evolversi rapidamente.
Per contrastare questa minaccia, le organizzazioni devono adottare una strategia di difesa a più livelli che includa formazione, backup, uso di EDR/XDR, threat intelligence e risposta rapida agli incidenti.
Acquisisci gli insight necessari per prevenire e reagire agli attacchi informatici con maggiore velocità ed efficacia con IBM X-Force Threat Intelligence Index.
Scopri come sta cambiando il panorama della sicurezza odierno e come affrontare le sfide e sfruttare la resilienza dell'AI generativa.
Ottieni informazioni chiave e strategie pratiche per proteggere il tuo cloud con le più recenti informazioni sulle minacce.
Migliora il programma di risposta agli incidenti della tua organizzazione, minimizza l'impatto delle violazioni e ottieni una risposta rapida agli incidenti di cybersecurity.
Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.
Ottimizza i processi decisionali, migliora l'efficienza del SOC e accelera la risposta agli incidenti con una soluzione di orchestrazione e automazione intelligente.
Migliora il programma di risposta agli incidenti della tua organizzazione, minimizza l'impatto delle violazioni e ottieni una risposta rapida agli incidenti di cybersecurity.