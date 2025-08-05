Intelligenza artificiale Compute e server Automazione IT

L'ascesa del Ransomware-as-a-Service: come il crimine informatico è diventato un business

Vista dall'alto di programmatori informatici che utilizzano un PC fisso alla scrivania dell'ufficio

Autore

Syed Jawwad

Security Consultant

Il ransomware-as-a-Service (RaaS) è emerso come modello di business rivoluzionario in cui gli hacker combinano le funzionalità del ransomware tradizionale con l'accessibilità dei servizi cloud. Questa mossa li ha aiutati a trasformare una sofisticata estorsione digitale in un'economia basata su abbonamento, disponibile per quasi chiunque abbia intenzioni malevole.

Storicamente, gli attacchi ransomware venivano effettuati principalmente da attori delle minacce tecnicamente esperti che scrivevano il proprio malware, lo distribuivano tramite phishing o kit, e negoziavano direttamente con la vittima. Ma in questo modello tradizionale c'erano dei limiti, come la limitata scalabilità, l'esposizione al rischio e la necessità di un ampio set di competenze. 

Poi è entrato in gioco il modello RaaS. In questo modello, gli sviluppatori di ransomware creano strumenti malware robusti e li affittano ai loro clienti o affiliati che effettuano gli attacchi reali. Gli sviluppatori ricevono dal 20% al 40% dei profitti, mentre gli affiliati prendono la quota rimanente.

Ciò ha reso la criminalità informatica più accessibile, consentendo anche a persone con competenze limitate di sferrare attacchi potenti utilizzando strumenti avanzati. 

Newsletter di settore

Le ultime notizie nel campo della tecnologia, supportate dalle analisi degli esperti

Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e altro con la newsletter Think. Leggi l'Informativa sulla privacy IBM.

Grazie per aver effettuato l'iscrizione!

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.

Come funziona il Ransomware-as-a-Service

RaaS è un modello di business basato sulla criminalità informatica in cui hacker professionisti, chiamati sviluppatori, creano e vendono o noleggiano strumenti ransomware già pronti ad affiliati (altri criminali) che li utilizzano per sferrare attacchi. Le fasi sono molteplici, come spiegato di seguito.

1. Sviluppo del malware 

Lo sviluppatore o l'operatore progetta il payload del ransomware. Le caratteristiche solitamente includono:

  • Algoritmi di crittografia per bloccare i dati delle vittime
  • Tecniche di auto cancellazione
  • Metodi di evasione per aggirare l'antivirus e l'EDR
  • Canali di comunicazione integrati (come il comando e controllo basato su TOR)

Alcune famiglie sofisticate includono persino caratteristiche modulari, come la diffusione simile a worm, l'evasione sandbox e la crittografia. 

2. Hosting della piattaforma RaaS 

Una volta creato il malware, viene confezionato e reso disponibile tramite marketplace darknet o forum privati. Queste piattaforme assomigliano a siti SaaS legittimi e le loro caratteristiche includono:

  • Dashboard utente per monitorare le infezioni
  • Portale di pagamento e gestione delle chiavi 
  • Forum di supporto
  • Aggiornamenti e implementazioni di funzionalità 
  • Materiali di marketing per gli affiliati

Alcuni gruppi RaaS hanno persino portali di servizio clienti per aiutare gli affiliati a risolvere i problemi nella distribuzione.

Secondo Crowdstrike, i kit RaaS sono pubblicizzati sui marketplace del dark web e includono supporto 24/7, offerte in bundle, recensioni, forum e altre caratteristiche identiche a quelle offerte dai fornitori SaaS legittimi.

3. Reclutamento degli affiliati 

Gli affiliati sono in genere altri criminali informatici che non sono talentuosi quanto gli sviluppatori di ransomware, tuttavia possono diffondere il ransomware attraverso il loro accesso a reti reali.  

Nelle grandi operazioni RaaS, il reclutamento è solitamente gestito da responsabili affiliati o reclutatori. Una persona dedicata o un piccolo team individua, seleziona e integra gli affiliati. Nelle piccole o nuove operazioni RaaS, il reclutamento viene solitamente effettuato dagli sviluppatori o dagli operatori stessi.

Il reclutamento avviene spesso tramite più fonti, tra cui piattaforme di messaggistica privata come Telegram o Jabber, forum del dark web o inviti a gruppi privati.

Gli sviluppatori possono valutare attentamente gli affiliati prima di consentire loro di unirsi al gruppo. In cambio, gli affiliati ottengono l'accesso al ransomware, alla documentazione e agli strumenti. A volte puntano al reclutamento basato sulla reputazione. In rare occasioni, gli aggressori potrebbero utilizzare falsi annunci di lavoro nel settore IT o piattaforme freelance per reclutare persone senza saperlo o per testare le loro competenze.

4. Consegna del carico 

Gli affiliati gestiscono la distribuzione del ransomware utilizzando molteplici fonti, tra cui:

  • E-mail di phishing con allegati dannosi 
  • Pubblicità dannosa 
  • Siti web compromessi  
  • Utilizzare software o vulnerabilità non patchate 
  • Broker di accesso iniziale (IAB) o intrusi iniziali (questi criminali vendono punti di ingresso compromessi nelle reti)

In alcuni casi, gli affiliati distribuiscono anche tecniche di doppia estorsione, in cui prima rubano i dati prima di criptarli, poi minacciano di pubblicarli se la vittima non paga il riscatto.  

5. Trattare con la vittima per il pagamento 

Una volta crittografati i sistemi, il ransomware visualizza un messaggio con le istruzioni di pagamento. Questi criminali solitamente richiedono criptovalute come Bitcoin. Nella richiesta di riscatto vengono fornite istruzioni dettagliate, tra cui come utilizzare Tor e i crypto wallet.

Alla vittima vengono forniti i link dei portali di negoziazione. Questi portali sono in genere ospitati su TOR. Alcuni gruppi RaaS automatizzano queste conversazioni utilizzando chatbot, mentre altri gruppi mettono a disposizione operatori umani per gestire la negoziazione dei prezzi. 

Questi gruppi dividono chiaramente le loro responsabilità. Gli affiliati sono responsabili dell'implementazione del ransomware, dell'invio della richiesta di riscatto, della comunicazione iniziale e della gestione della negoziazione. Lo sviluppatore principale o il team di sviluppatori forniscono il backend ospitando portali, verificando i pagamenti e distribuendo le chiavi di decrittazione.

6. Condivisione degli utili 

Quando questi gruppi riescono a estorcere il denaro alla vittima, dividono il profitto secondo l'accordo. L'importo concordato va allo sviluppatore e il resto sarà trattenuto dall'affiliato. 

Mixture of Experts | 28 agosto, episodio 70

Decoding AI: Weekly News Roundup

Unisciti al nostro gruppo di livello mondiale di ingegneri, ricercatori, leader di prodotto e molti altri mentre si fanno strada nell'enorme quantità di informazioni sull'AI per darti le ultime notizie e gli ultimi insight sull'argomento.
Guarda gli ultimi episodi del podcast

Modelli di business RaaS

Esistono diversi modelli sotto cui operano i RaaS. Essi includono quanto segue:

  • Condivisione dei profitti: gli affiliati non pagano alcun costo iniziale, ma gli sviluppatori prendono una quota di ogni riscatto. Questo è il modello più comune.
  • Basato su abbonamento: gli affiliati pagano una quota mensile per accedere al kit ransomware e all'assistenza. 
  • Licenza una tantum: con una tariffa fissa si acquista l'accesso illimitato al malware, ma non l'assistenza continua.
  • Custom-build: ransomware creato su misura e venduto a un singolo acquirente, spesso per attacchi mirati o di alto profilo.

Gruppi RaaS del mondo reale 

Alcune delle bande di ransomware più popolari che operano secondo il modello RaaS includono:

  • REvil: questo gruppo offriva dashboard dettagliate per gli affiliati e spesso negoziava i riscatti per loro conto prima dello scioglimento.
  • DarkSide: questo gruppo è noto per il branding professionale, le dichiarazioni di PR e persino un codice di condotta.
  • Conti: questo gruppo lavorava come un'entità aziendale, con buste paga, manager e recensioni delle prestazioni, prima di sciogliersi.
  • LockBit: questo gruppo è ancora attivo ed è noto per le tattiche aggressive e per i siti pubblici di fughe di notizie.

Precauzioni: come difenderci dai RaaS

Per rimanere protette dai RaaS, le aziende dovrebbero scegliere una strategia di difesa multilivello, tra cui:

  1. Consapevolezza degli utenti: il phishing è il punto di ingresso più comune. Una formazione regolare può rendere gli utenti consapevoli degli attacchi informatici. 
  2. Rilevamento comportamentale ed euristico: ogni giorno Raas lancia nuovi servizi.   Gli indicatori di compromissione (IOC) possono rilevare la presenza di attività dannose o prove di una violazione di sicurezza all'interno di una rete, sistema o endpoint. Quando ogni secondo conta durante un attacco ransomware, gli strumenti EDR/XDR possono rilevare, contenere e rispondere in tempo reale
  3. Mappatura delle firme: ogni famiglia di ransomware ha firme comportamentali e caratteristiche del payload distinte. La mappatura di queste firme aiuta a creare difese più mirate. Le aziende possono aggiornare regolarmente i feed di threat intelligence e integrarli con le piattaforme SIEM o SOAR. Il framework MITRE ATT&CK o Threat Fox sono ottimi per questo scopo. Gli utenti possono optare per l'abbonamento ai trend del malware di Any.run per ottenere rapporti regolari e dettagliati sui principali tipi di malware, IOC o TTP. Gli utenti possono anche utilizzare la loro dashboard per vedere informazioni dettagliate sulle famiglie di malware.
  4. Monitoraggio dell'integrità dei file: se gli utenti eseguono il monitoraggio dell'integrità dei file, possono facilmente rilevare modifiche non autorizzate a file e directory su un sistema. Verranno avvisati quando file critici (come configurazioni di sistema o file eseguibili) vengono modificati, eliminati o aggiunti. Questo aiuta a identificare precocemente segni di malware, backdoors o persino minacce interne.
  5. Patch e aggiornamenti: le patch regolari giocano un ruolo chiave nella difesa contro i RaaS perché molti affiliati RaaS cercano software non patchati per ottenere accesso.
  6. Rilevamento e risposta degli endpoint (EDR): la distribuzione dell'EDR protegge contro il RaaS. Il Rilevamento e risposta degli endpoint (EDR) esegue un'analisi comportamentale per individuare il ransomware nelle prime fasi di esecuzione.
  7. Architettura zero-trust: utilizzando l'architettura zero-trust, il movimento laterale sarà limitato, anche se un sistema viene compromesso.
  8. Segmentazione: la segmentazione della rete aiuta a prevenire la crittografia completa della rete isolando i sistemi critici in segmenti diversi.
  9. Backup offline: i backup offline sono immuni alle infezioni, quindi se i backup online vengono compromessi, gli utenti possono ripristinarli in sicurezza dalle copie offline.
  10. Conformità: mantenere la conformità degli endpoint riduce significativamente il rischio rappresentato dal Ransomware-as-a-Service (RaaS). Le aziende devono assicurarsi che i sistemi siano rafforzati, senza vulnerabilità e aggiornati con le ultime definizioni antimalware.

Il ransomware-as-a-Service ha abbassato le barriere d'ingresso nella criminalità informatica, permettendo anche agli attaccanti poco qualificati di lanciare campagne devastanti. Grazie a operazioni ben organizzate, reti di affiliazione e modelli di condivisione degli utili, il RaaS continua a evolversi rapidamente. 

Per contrastare questa minaccia, le organizzazioni devono adottare una strategia di difesa a più livelli che includa formazione, backup, uso di EDR/XDR, threat intelligence e risposta rapida agli incidenti.
Soluzioni correlate
Servizi di risposta agli incidenti

Migliora il programma di risposta agli incidenti della tua organizzazione, minimizza l'impatto delle violazioni e ottieni una risposta rapida agli incidenti di cybersecurity.

 Esplora i servizi di risposta agli incidenti
Soluzioni di rilevamento e risposta alle minacce

Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.

 Esplora le soluzioni di rilevamento delle minacce
Soluzioni IBM QRadar SOAR

Ottimizza i processi decisionali, migliora l'efficienza del SOC e accelera la risposta agli incidenti con una soluzione di orchestrazione e automazione intelligente.

 Scopri QRadar SOAR
Prossimi passi

Migliora il programma di risposta agli incidenti della tua organizzazione, minimizza l'impatto delle violazioni e ottieni una risposta rapida agli incidenti di cybersecurity.

 Esplora i servizi di risposta agli incidenti Scopri di più su IBM X-Force