Che cos'è il Ransomware-as-a-Service (RaaS)?

Abbonamento mensile

Gli affiliati RaaS pagano un importo ricorrente, a volte fino a 40 USD al mese, per l'accesso a strumenti ransomware.

Tariffa una tantum

Gli affiliati pagano una somma una tantum per acquistare il codice ransomware a titolo definitivo.

Programmi di affiliazione

Gli affiliati pagano una cifra mensile e condividono con gli operatori una piccola percentuale dei pagamenti del riscatto che ricevono.

Condivisione degli utili

Al posto di un pagamento anticipato, gli operatori percepiscono una quota significativa di ogni riscatto ricevuto dall'affiliato, spesso il 30-40%.

 I kit RaaS sono pubblicizzati nei forum del dark web in tutto l'ecosistema underground‌, e alcuni operatori di ransomware reclutano attivamente nuovi affiliati, versando milioni di dollari nelle campagne di recruiting sul dark web.

Quando acquistano un kit RaaS, gli affiliati ricevono molto più di semplici malware e chiavi di decrittazione. Spesso ricevono un livello di servizio e supporto pari a quello dei fornitori SaaS legali. Alcuni degli operatori RaaS più sofisticati offrono servizi come:

• Assistenza tecnica continua.
• Accesso a forum privati dove gli hacker possono scambiarsi suggerimenti e informazioni.
• Portali di elaborazione dei pagamenti, perché la maggior parte dei pagamenti di riscatto sono richiesti in criptovalute non rintracciabili, come Bitcoin.
• Strumenti e supporto per scrivere richieste di riscatto personalizzate o per condurre le negoziazioni.

Attribuzione incerta degli attacchi ransomware

Nell'ambito del modello RaaS, gli esecutori di attacchi informatici possono non essere le stesse persone che hanno sviluppato il malware in uso. Inoltre, gruppi di hacking diversi possono utilizzare lo stesso ransomware. I professionisti della sicurezza informatica non sempre sono in grado di attribuire con precisione gli attacchi a gruppi specifici, rendendo più difficile profilare e individuare operatori e affiliati RaaS. 

Specializzazione dei criminali informatici

L'economia del crimine informatico, più o meno come quella legale, ha portato a una divisione del lavoro. Gli attori delle minacce ormai possono specializzarsi affinando le proprie abilità. Gli sviluppatori possono concentrarsi sulla scrittura di malware sempre più potenti mentre gli affiliati possono darsi allo sviluppo di metodi di attacco più efficaci.

Una terza classe di criminali informatici, detta "broker di accesso", è specializzata nelle intrusioni di rete e vendita di punti di accesso agli aggressori. La specializzazione permette agli hacker di muoversi più velocemente ed eseguire più attacchi. Secondo l'X-Force Threat Intelligence Index, il tempo medio di preparazione e avvio di un attacco ransomware è sceso da oltre 60 giorni nel 2019 agli attuali 3,84 giorni. 

Minacce ransomware più resilienti

Il RaaS consente agli operatori e agli affiliati di condividere il rischio, rendendoli più resilienti. La cattura di affiliati non comporta la chiusura delle attività da parte degli operatori e gli affiliati possono passare a un altro kit ransomware se un operatore viene catturato. È noto anche che gli hacker riorganizzano e rinominano il proprio business per eludere le autorità.

Ad esempio, dopo che l'Office of Foreign Assets Control (OFAC) degli Stati Uniti ha sanzionato la banda di ransomware Evil Corp, le vittime hanno smesso di pagare i riscatti per evitare sanzioni dell'OFAC. In risposta, Evil Corp ha cambiato il nome del suo ransomware per continuare i pagamenti (link esterno a ibm.com).

Nuove tattiche di pressione

I criminali informatici che utilizzano gli attacchi RaaS hanno scoperto che spesso possono richiedere pagamenti di riscatto più elevati e più rapidi se non crittografano i dati della vittima. La fase aggiuntiva di ripristino dei sistemi può infatti rallentare i pagamenti, e un numero maggiore di organizzazioni ha migliorato le proprie strategie di backup e ripristino, rendendo la crittografia meno dannosa.

Per questo, i criminali informatici preferiscono attaccare le organizzazioni con grandi quantità di informazioni di identificazione personale (PII) sensibili, come le organizzazioni sanitarie, minacciando di divulgare le informazioni rubate. Piuttosto che subire l'imbarazzo e le possibili ripercussioni legali associate a una fuga di notizie, le vittime spesso pagano il riscatto.

Tox

Identificato per la prima volta nel 2015, è considerato da molti il primo RaaS.

LockBit

LockBit è una delle varianti RaaS più diffuse, secondo l'X-Force Threat Intelligence Index. Si diffonde spesso tramite e-mail di phishing. In particolare, la banda di LockBit ha cercato di reclutare affiliati tra i collaboratori delle vittime designate, rendendo più facile l’intrusione. 

Lato Oscuro

Variante utilizzata nell'attacco del 2021 alla compagnia statunitense proprietaria dell'oleodotto Colonial Pipeline, ad oggi il peggior attacco informatico contro infrastrutture critiche degli Stati Uniti.DarkSide ha interrotto le attività nel 2021, ma i suoi sviluppatori hanno rilasciato un kit RaaS successivo chiamato BlackMatter.

REvil/Sodinokibi

REvil, noto anche come Sodin o Sodinokibi, ha prodotto il ransomware con cui nel 2021 sono stati condotti attacchi contro JBS USA e Kaseya Limited. Al suo apice, REvil era una delle varianti di ransomware più diffuse. Agli inizi del 2022 il servizio di sicurezza federale russo ha fermato REvil e processato diversi dei suoi membri chiave.

Ryuk

Prima della chiusura nel 2021, Ryuk era una delle maggiori operazioni RaaS. Gli sviluppatori di Ryuk hanno proseguito rilasciando Conti, un'altra importante variante RaaS, utilizzata in un attacco contro il governo costaricano nel 2022.

Hive

Hive è salito alla ribalta nel 2022 dopo un attacco a Microsoft Exchange Server. Gli affiliati di Hive rappresentavano una minaccia significativa per le società finanziarie e le organizzazioni sanitarie fino a quando l'FBI non ha arrestato l'operatore.

Black Basta

Arrivato come minaccia nel 2022, Black Basta ha subito mietuto più di 100 vittime in Nord America, Europa e Asia. Utilizzando attacchi mirati, gli hacker richiedevano una doppia estorsione: sia per decriptare i dati della vittima, sia con la minaccia di divulgare informazioni sensibili al pubblico.

CL0P

Nel 2023, il gruppo ransomware CL0P ha sfruttato una vulnerabilità nell'applicazione di trasferimento file MOVEit per esporre informazioni su milioni di persone.

Eldorado

Il RaaS Eldorado è stato annunciato all'inizio del 2024 in una pubblicità su un forum di ransomware. Nel giro di tre mesi, 16 vittime sono state aggredite negli Stati Uniti e in Europa.¹

Piani completi di risposta agli incidenti

Pianificare la risposta agli incidenti può essere particolarmente utile per gli attacchi RaaS. Poiché l'attribuzione degli attacchi può essere difficile, i team di risposta agli incidenti non possono contare sull'idea che gli attacchi ransomware utilizzino sempre le stesse tattiche, tecniche e procedure (TTP).

Inoltre, quando gli addetti alla risposta agli incidenti espellono affiliati RaaS, sulle loro reti potrebbero essere ancora attivi broker di accesso. Un rilevamento delle minacce proattivo e indagini approfondite sugli incidenti possono aiutare le squadre di sicurezza a eliminare queste minacce evasive. 

Strumenti di rilevamento basati sulle anomalie

Per identificare gli attacchi ransomware in corso, le organizzazioni possono utilizzare strumenti di rilevamento basati sulle anomalie, come alcune soluzioni di rilevamento e risposta degli endpoint (EDR) e di rilevamento e risposta della rete (NDR) . Questi strumenti sfruttano funzioni di automazione intelligente, intelligenza artificiale (AI) e apprendimento automatico (ML) per rilevare minacce nuove e avanzate quasi in tempo reale e garantire una maggiore protezione degli endpoint.

Un attacco ransomware potrebbe essere individuato nelle prime fasi come un processo di cancellazione o una crittografia dei backup che si avvia da sola senza preavviso. Anche prima di un'aggressione, gli eventi anomali potrebbero essere i "segnali premonitori" di un attacco imminente che il team di sicurezza può prevenire.

Riduzione della superficie di attacco della rete

Le organizzazioni possono contribuire a ridurre le superfici di attacco della rete eseguendo frequenti valutazioni delle vulnerabilità e applicando regolarmente patch per colmare le vulnerabilità di cui solitamente gli aggressori si approfittano.

Anche strumenti di sicurezza come software antivirus, l'orchestrazione della sicurezza, automazione e risposta (SOAR),  la gestione delle informazioni e degli eventi di sicurezza (SIEM) e il rilevamento e risposta estesi (XDR) possono aiutare i team di sicurezza a intercettare i ransomware più velocemente.

Formazione sulla cybersecurity

Mostra ai dipendenti come riconoscere ed evitare i vettori di ransomware più comuni, fra cui phishing, social engineering e link dannosi.

Implementazione dei controlli di accesso

L'autenticazione a più fattori, l'architettura zero-trust e la segmentazione di rete sono altri strumenti per evitare che il ransomware raggiunga i dati sensibili.

Mantenimento dei backup

Le organizzazioni possono eseguire regolarmente il backup dei dati sensibili e delle immagini di sistema, idealmente su dischi rigidi o altri dispositivi che possono essere disconnessi dalla rete.

Collaborazione con le forze dell'ordine

Inoltre, a volte possono risparmiare sui costi e sui tempi di contenimento con l'aiuto delle forze dell'ordine.

Le vittime di ransomware che hanno coinvolto le forze dell'ordine hanno ridotto il costo delle loro violazioni in media di quasi 1 milione di dollari, escluso il costo di qualsiasi riscatto pagato, secondo il Cost of a Data Breach Report di IBM. Il coinvolgimento delle forze dell'ordine ha inoltre contribuito a ridurre il tempo necessario per identificare e contenere le violazioni da 297 a 281 giorni.