Il Ransomware-as-a-service (RaaS) è un modello di business del crimine informatico in cui una banda vende il proprio codice ransomware ad altri hacker, con il quale a loro volta mettono in atto attacchi ransomware.
Secondo l'X-Force Threat Intelligence Index di IBM, il ransomware è stato il secondo tipo di attacco informatico più comune nel 2022. Molti esperti ritengono che l’ascesa del RaaS abbia avuto un ruolo nel mantenere alta la diffusione del ransomware. Da un rapporto del 2022 di Zscaler (link esterno ibm.com) è emerso che 8 delle 11 varianti di ransomware più attive erano varianti RaaS.
È facile capire perché il modello RaaS sia così popolare presso i criminali informatici. Infatti, abbassa il livello di conoscenze necessarie per darsi al crimine informatico, consentendo di effettuare attacchi informatici anche ad attori di minacce con competenze tecniche limitate. Il RaaS, inoltre, è reciprocamente vantaggioso: gli hacker possono trarre profitto dall'estorsione evitando di sviluppare malware e gli sviluppatori di ransomware possono aumentare i profitti senza dover attaccare manualmente le reti.
Il RaaS funziona alla stregua di legittimi modelli di business software-as-a-service (SaaS) . Gli sviluppatori di ransomware, detti anche operatori RaaS, si occupano dello sviluppo e del mantenimento di strumenti e infrastrutture ransomware. Confezionano i propri strumenti e servizi in kit RaaS che vendono ad altri hacker, detti affiliati RaaS.
Per vendere i propri kit, la maggior parte degli operatori utilizza uno dei seguenti schemi reddituali:
- Abbonamento mensile: gli affiliati RaaS pagano un importo ricorrente, a volte fino a 40 USD al mese, per l'accesso a strumenti ransomware.
- Una tantum: gli affiliati pagano una somma una tantum per acquistare a titolo definitivo il codice ransomware.
- Modelli di affiliazione: gli affiliati pagano una cifra mensile e condividono con gli operatori una piccola percentuale dei pagamenti del riscatto che ricevono.
- Partecipazione agli utili: anziché un pagamento anticipato gli operatori percepiscono una quota significativa di ogni riscatto ricevuto dall'affiliato, spesso il 30-40%.
I kit RaaS sono pubblicizzati sui forum del dark web dove alcuni operatori di ransomware reclutano attivamente nuovi affiliati. Il gruppo REvil, ad esempio, ha speso 1 milione di dollari nell’ambito di un’importante campagna di assunzioni nell’ottobre 2020 (link esterno a ibm.com).
Una volta acquistato il kit, gli affiliati non ricevono soltanto malware e chiavi di decrittazione: spesso ottengono un livello di servizio e assistenza pari a quello offerto dai legittimi fornitori SaaS. Alcuni degli operatori RaaS più sofisticati possono offrire servizi accessori come il supporto tecnico continuo, l'accesso a forum privati in cui gli hacker possono scambiarsi consigli e informazioni, portali per l'elaborazione dei pagamenti (dato che la maggior parte dei pagamenti dei riscatti viene richiesta in criptovalute non tracciabili come Bitcoin) e persino strumenti e supporto per la scrittura personalizzata di richieste di riscatto o nella trattativa.
Sebbene il potenziale profitto sia un fattore importante nella proliferazione del RaaS, i programmi di affiliazione offrono agli hacker e agli sviluppatori di ransomware altri vantaggi, presentando così ulteriori sfide ai professionisti della sicurezza informatica.
Attribuzione incerta degli incidenti ransomware. Nell'ambito del modello RaaS, gli esecutori di attacchi informatici possono non essere le stesse persone che hanno sviluppato il malware in uso. Inoltre, gruppi di hacking diversi possono utilizzare lo stesso ransomware. I professionisti della sicurezza informatica non sempre sono in grado di attribuire con precisione gli attacchi a gruppi specifici, rendendo più difficile profilare e individuare operatori e affiliati RaaS.
Specializzazione dei criminali informatici. L'economia del crimine informatico, più o meno come quella legale, ha portato a una divisione del lavoro. Gli attori delle minacce ormai possono specializzarsi affinando le proprie abilità. Gli sviluppatori possono concentrarsi sulla realizzazione di malware sempre più potenti mentre gli affiliati possono darsi allo sviluppo di metodi di attacco più efficaci. Una terza classe di criminali informatici, detta "broker di accesso", è specializzata nelle intrusioni di rete e vendita di punti di accesso agli aggressori. La specializzazione consente agli hacker di muoversi più velocemente ed eseguire più attacchi. Secondo l'X-Force Threat Intelligence Index, il tempo medio di esecuzione di un attacco ransomware è sceso da oltre 60 giorni nel 2019 a 3,85 giorni nel 2022.
Minacce ransomware più resilienti. Il RaaS consente agli operatori e agli affiliati di condividere il rischio, rendendoli più resilienti. La cattura di affiliati non comporta la chiusura delle attività da parte degli operatori e gli affiliati possono passare a un altro kit ransomware se un operatore viene catturato. È noto anche che gli hacker riorganizzano e rinominano il proprio business per eludere le autorità. Ad esempio, dopo che l'Office of Foreign Assets Control (OFAC) degli Stati Uniti ha sanzionato la banda di ransomware Evil Corp, le vittime hanno smesso di pagare i riscatti per evitare sanzioni dell'OFAC. In risposta, la Evil Corp ha modificato più volte il nome del proprio ransomware (link esterno a ibm.com) per mantenere il flusso dei pagamenti.
Può essere difficile stabilire quali bande siano responsabili di un determinato ransomware o quali operatori siano ufficialmente attivi in un determinato momento. Tuttavia, nel corso degli anni i professionisti della sicurezza informatica hanno identificato alcuni dei principali operatori RaaS, tra cui:
- Tox: identificato per la prima volta nel 2015, è considerato da molti il primo RaaS.
- LockBit: una delle varianti RaaS più pervasive di oggi, responsabile del 17% degli incidenti ransomware osservati nel 2022, più di qualsiasi altro tipo di RaaS. Si diffonde spesso tramite e-mail di phishing. In particolare, la banda di LockBit ha cercato di reclutare affiliati tra i collaboratori delle vittime designate, rendendo più facile l’intrusione.
- DarkSide: variante utilizzata nell'attacco del 2021 alla compagnia statunitense proprietaria dell'oleodotto Colonial Pipeline, ad oggi il peggior attacco informatico contro infrastrutture critiche degli Stati Uniti. DarkSide ha interrotto le attività nel 2021, ma i suoi sviluppatori hanno rilasciato un kit RaaS successivo chiamato BlackMatter.
- REvil/Sodinokibi: REvil, noto anche come Sodin o Sodinokibi, ha prodotto il ransomware con cui nel 2021 sono stati condotti attacchi contro JBS USA e Kaseya Limited. Al suo apice, REvil era una delle varianti più diffuse, responsabile nel 2021 del 37% degli attacchi ransomware. Agli inizi del 2022 il servizio di sicurezza federale russo ha fermato REvil e accusato diversi elementi chiave, tuttavia l'infrastruttura RaaS della banda è riemersa nell'aprile 2022 (link esterno a ibm.com)
- Ryuk: Prima della chiusura nel 2021, Ryuk era una delle maggiori operazioni RaaS. Gli sviluppatori di Ryuk hanno proseguito rilasciando Conti, un'altra importante variante RaaS, utilizzata in un attacco contro il governo costaricano nel 2022 (link esterno a ibm.com).
- Hive: salito alla ribalta nel 2022 dopo un attacco a Microsoft Exchange Server. Gli affiliati di Hive rappresentavano una minaccia consistente per le società finanziarie e le organizzazioni sanitarie fino a quando l'FBI non ha bloccato l'operatore nel 2023 (link esterno a ibm.com).
Sebbene il RaaS abbia modificato il panorama minacce, molte delle pratiche standard per la protezione contro il ransomware possono ancora essere efficaci per combatterne gli attacchi. Oggi molti affiliati RaaS sono meno esperti dal punto di vista tecnico rispetto agli aggressori ransomware di ieri. Porre ostacoli sufficienti tra gli hacker e le risorse di rete può scoraggiare del tutto alcuni attacchi RaaS. Ulteriori tattiche di cybersecurity possono includere:
- Mantenimento di backup di dati sensibili e immagini del sistema, idealmente su dischi rigidi o altri dispositivi che possono essere scollegati dalla rete.
- Riduzione della superficie di attacco della rete applicando regolarmente patch per porre rimedio a vulnerabilità comunemente sfruttate. Strumenti di protezione come software antivirus, orchestrazione della sicurezza, automazione e risposta (SOAR), rilevamento e risposta degli endpoint (EDR), gestione delle informazioni e degli eventi di sicurezza (SIEM) e rilevamento e risposta estesi (XDR) possono aiutare i team di sicurezza anche a intercettare il ransomware più velocemente.
- Addestramento sulla sicurezza informatica per aiutare i dipendenti a riconoscere ed evitare i comuni vettori ransomware quali phishing, ingegneria sociale e collegamenti dannosi.
- Implementazione di controlli di accesso quali autenticazione a più fattori, architettura zero-trust e segmentazione della rete, per impedire al ransomware di raggiungere dati particolarmente sensibili.
- Piani completi di risposta agli incidenti per aiutare le squadre di sicurezza a risolvere la maggior parte delle minacce informatiche, particolarmente utili per gli attacchi RaaS. Poiché l'attribuzione degli attacchi può essere incerta, i team di risposta agli incidenti non possono contare sull'idea che gli attacchi ransomware utilizzino sempre le stesse tattiche, tecniche e procedure (TTP). Inoltre, quando gli addetti alla risposta agli incidenti espellono affiliati RaaS, sulle loro reti potrebbero essere ancora attivi broker di accesso. Individuazione delle minacce proattiva e approfondite indagini sugli incidenti possono aiutare le squadre di sicurezza a eliminare queste minacce evasive.
Individua minacce avanzate che altri semplicemente non riescono a cogliere. QRadar SIEM sfrutta l'analitica e l'AI per monitorare le informazioni sulle minacce, le anomalie della rete e del comportamento degli utenti e focalizzare l'attenzione là dove è necessario, mettendo in atto le dovute misure correttive.
Proteggi gli endpoint dagli attacchi informatici, rileva i comportamenti anomali e correggili quasi in tempo reale con questa soluzione di rilevamento e risposta degli endpoint (EDR) evoluta ma facile da usare.
Impedisci al ransomware di interrompere la continuità aziendale e ripristina il sistema rapidamente quando si verificano attacchi, con un approccio Zero Trust che ti aiuta a rilevare e rispondere più rapidamente al ransomware minimizzando l'impatto degli attacchi.
Scopri conoscenze attivabili per capire in che modo gli attori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.
Scopri i passaggi critici per proteggere il tuo business prima che un attacco ransomware possa penetrare nelle tue difese e per ripristinare il sistema in modo ottimale qualora gli avversari dovessero violare il perimetro.
Giunto alla sua 17a edizione, questo report condivide le conoscenze più aggiornate sul panorama minacce in espansione e offre consigli per risparmiare tempo e limitare le perdite.
Collabora con architetti e consulenti senior di IBM Security per assegnare priorità alle tue iniziative di cybersecurity in una sessione di 3 ore di design thinking, virtuale o di persona, a costo zero.
Los Angeles collabora con IBM Security per creare il primo gruppo di condivisione minacce e proteggersi dalla criminalità informatica.
La gestione delle informazioni e degli eventi di sicurezza (SIEM) offre il monitoraggio e l'analisi in tempo reale degli eventi, nonché tracciamento e registrazione dei dati di sicurezza a fini di conformità o controllo.