Il Ransomware-as-a-service (RaaS) è un modello di business del crimine informatico in cui una banda vende il proprio codice ransomware ad altri hacker, con il quale a loro volta mettono in atto attacchi ransomware.
Secondo l'X-Force Threat Intelligence Index di IBM, il ransomware è stato il secondo tipo di attacco informatico più comune nel 2022. Molti esperti ritengono che l’ascesa del RaaS abbia avuto un ruolo nel mantenere alta la diffusione del ransomware. Da un rapporto del 2022 di Zscaler (link esterno ibm.com) è emerso che 8 delle 11 varianti di ransomware più attive erano varianti RaaS.
È facile capire perché il modello RaaS sia così popolare presso i criminali informatici. Infatti, abbassa il livello di conoscenze necessarie per darsi al crimine informatico, consentendo di effettuare attacchi informatici anche ad attori di minacce con competenze tecniche limitate. Il RaaS, inoltre, è reciprocamente vantaggioso: gli hacker possono trarre profitto dall'estorsione evitando di sviluppare malware e gli sviluppatori di ransomware possono aumentare i profitti senza dover attaccare manualmente le reti.
Il RaaS funziona alla stregua di legittimi modelli di business software-as-a-service (SaaS) . Gli sviluppatori di ransomware, detti anche operatori RaaS, si occupano dello sviluppo e del mantenimento di strumenti e infrastrutture ransomware. Confezionano i propri strumenti e servizi in kit RaaS che vendono ad altri hacker, detti affiliati RaaS.
Per vendere i propri kit, la maggior parte degli operatori utilizza uno dei seguenti schemi reddituali:
I kit RaaS sono pubblicizzati sui forum del dark web dove alcuni operatori di ransomware reclutano attivamente nuovi affiliati. Il gruppo REvil, ad esempio, ha speso 1 milione di dollari nell’ambito di un’importante campagna di assunzioni nell’ottobre 2020 (link esterno a ibm.com).
Una volta acquistato il kit, gli affiliati non ricevono soltanto malware e chiavi di decrittazione: spesso ottengono un livello di servizio e assistenza pari a quello offerto dai legittimi fornitori SaaS. Alcuni degli operatori RaaS più sofisticati possono offrire servizi accessori come il supporto tecnico continuo, l'accesso a forum privati in cui gli hacker possono scambiarsi consigli e informazioni, portali per l'elaborazione dei pagamenti (dato che la maggior parte dei pagamenti dei riscatti viene richiesta in criptovalute non tracciabili come Bitcoin) e persino strumenti e supporto per la scrittura personalizzata di richieste di riscatto o nella trattativa.
Sebbene il potenziale profitto sia un fattore importante nella proliferazione del RaaS, i programmi di affiliazione offrono agli hacker e agli sviluppatori di ransomware altri vantaggi, presentando così ulteriori sfide ai professionisti della sicurezza informatica.
Attribuzione incerta degli incidenti ransomware. Nell'ambito del modello RaaS, gli esecutori di attacchi informatici possono non essere le stesse persone che hanno sviluppato il malware in uso. Inoltre, gruppi di hacking diversi possono utilizzare lo stesso ransomware. I professionisti della sicurezza informatica non sempre sono in grado di attribuire con precisione gli attacchi a gruppi specifici, rendendo più difficile profilare e individuare operatori e affiliati RaaS.
Specializzazione dei criminali informatici. L'economia del crimine informatico, più o meno come quella legale, ha portato a una divisione del lavoro. Gli attori delle minacce ormai possono specializzarsi affinando le proprie abilità. Gli sviluppatori possono concentrarsi sulla realizzazione di malware sempre più potenti mentre gli affiliati possono darsi allo sviluppo di metodi di attacco più efficaci. Una terza classe di criminali informatici, detta "broker di accesso", è specializzata nelle intrusioni di rete e vendita di punti di accesso agli aggressori. La specializzazione consente agli hacker di muoversi più velocemente ed eseguire più attacchi. Secondo l'X-Force Threat Intelligence Index, il tempo medio di esecuzione di un attacco ransomware è sceso da oltre 60 giorni nel 2019 a 3,85 giorni nel 2022.
Minacce ransomware più resilienti. Il RaaS consente agli operatori e agli affiliati di condividere il rischio, rendendoli più resilienti. La cattura di affiliati non comporta la chiusura delle attività da parte degli operatori e gli affiliati possono passare a un altro kit ransomware se un operatore viene catturato. È noto anche che gli hacker riorganizzano e rinominano il proprio business per eludere le autorità. Ad esempio, dopo che l'Office of Foreign Assets Control (OFAC) degli Stati Uniti ha sanzionato la banda di ransomware Evil Corp, le vittime hanno smesso di pagare i riscatti per evitare sanzioni dell'OFAC. In risposta, la Evil Corp ha modificato più volte il nome del proprio ransomware (link esterno a ibm.com) per mantenere il flusso dei pagamenti.
Può essere difficile stabilire quali bande siano responsabili di un determinato ransomware o quali operatori siano ufficialmente attivi in un determinato momento. Tuttavia, nel corso degli anni i professionisti della sicurezza informatica hanno identificato alcuni dei principali operatori RaaS, tra cui:
Sebbene il RaaS abbia modificato il panorama minacce, molte delle pratiche standard per la protezione contro il ransomware possono ancora essere efficaci per combatterne gli attacchi. Oggi molti affiliati RaaS sono meno esperti dal punto di vista tecnico rispetto agli aggressori ransomware di ieri. Porre ostacoli sufficienti tra gli hacker e le risorse di rete può scoraggiare del tutto alcuni attacchi RaaS. Ulteriori tattiche di cybersecurity possono includere:
Individua minacce avanzate che altri semplicemente non riescono a cogliere. QRadar SIEM sfrutta l'analitica e l'AI per monitorare le informazioni sulle minacce, le anomalie della rete e del comportamento degli utenti e focalizzare l'attenzione là dove è necessario, mettendo in atto le dovute misure correttive.
Proteggi gli endpoint dagli attacchi informatici, rileva i comportamenti anomali e correggili quasi in tempo reale con questa soluzione di rilevamento e risposta degli endpoint (EDR) evoluta ma facile da usare.
Impedisci al ransomware di interrompere la continuità aziendale e ripristina il sistema rapidamente quando si verificano attacchi, con un approccio Zero Trust che ti aiuta a rilevare e rispondere più rapidamente al ransomware minimizzando l'impatto degli attacchi.
Scopri conoscenze attivabili per capire in che modo gli attori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.
Scopri i passaggi critici per proteggere il tuo business prima che un attacco ransomware possa penetrare nelle tue difese e per ripristinare il sistema in modo ottimale qualora gli avversari dovessero violare il perimetro.
Giunto alla sua 17a edizione, questo report condivide le conoscenze più aggiornate sul panorama minacce in espansione e offre consigli per risparmiare tempo e limitare le perdite.
Collabora con architetti e consulenti senior di IBM Security per assegnare priorità alle tue iniziative di cybersecurity in una sessione di 3 ore di design thinking, virtuale o di persona, a costo zero.
Los Angeles collabora con IBM Security per creare il primo gruppo di condivisione minacce e proteggersi dalla criminalità informatica.
La gestione delle informazioni e degli eventi di sicurezza (SIEM) offre il monitoraggio e l'analisi in tempo reale degli eventi, nonché tracciamento e registrazione dei dati di sicurezza a fini di conformità o controllo.