Ransomware-as-a-Service (RaaS) è un modello di distribuzione specifico per un particolare tipo di malware, che rappresenta una minaccia significativa per la cybersecurity. Questo schema di affiliazione offre a un maggior numero di aspiranti cybercriminali l'opportunità di sferrare attacchi senza le necessarie competenze tecniche e di programmazione, aumentando così la diffusione degli attacchi ransomware.
Considerato quanto può essere dannoso il ransomware, è particolarmente importante che le aziende comprendano le implicazioni del RaaS per la cybersecurity e i motivi per cui è così cruciale proteggere i sistemi dal ransomware.
Ransomware-as-a-Service (RaaS) è un modello di business specializzato in un particolare tipo di malware, ovvero il ransomware, che opera nel Dark Web. Per semplificare, si tratta di un'evoluzione dannosa del più tradizionale e legale modello Software as a Service (SaaS), utilizzato da molte grandi aziende tra cui Microsoft, Adobe, Shopify, Zoom e Dropbox. Il modello di business RaaS prevede operatori che creano il ransomware (e spesso un intero ecosistema attorno ad esso) e lo offrono a terzi. I cybercriminali possono "abbonarsi" gratuitamente al servizio Ransomware-as-a-Service (RaaS). Una volta diventati partner del programma, pagano il servizio dopo l'attacco, in forma di percentuale del riscatto.
I cybercriminali che vogliono eseguire attacchi ransomware, ma non hanno il tempo e le capacità di sviluppare il proprio malware, possono semplicemente scegliere una soluzione RaaS sul Dark Web. In questo modo ottengono l'accesso al ransomware e a tutti i componenti necessari, come i pannelli di comando e controllo (C2), i builder (programmi per la creazione rapida di campioni di malware unici), gli aggiornamenti del malware e dell'interfaccia, il supporto, le istruzioni e l'hosting. In questo modo possono sferrare il loro attacco, evitando tutto il lavoro di sviluppo. I malintenzionati possono quindi eseguire una sofisticata catena di attacchi ransomware senza avere alcun tipo di conoscenza o esperienza nello sviluppo di questo tipo di malware.
Gli operatori che offrono soluzioni Ransomware-as-a-Service sviluppano spesso un'intera offerta di prodotti attorno al loro malware, che può includere un'ampia gamma di servizi come forum di community, playbook per attacchi strategici e assistenza clienti. Ciò è particolarmente utile per gli aspiranti cybercriminali che non hanno esperienza nello sferrare attacchi informatici. Ecco alcuni esempi di servizi RaaS aggiuntivi:
Qualunque sia il tipo di Ransomware-as-a-Service che il cybercriminale sceglie di usare, l'obiettivo finale è sempre lo stesso: compromettere la rete di un individuo o di un'organizzazione e rubare o decriptare i dati, per poi indurre l'obiettivo a pagare un riscatto.
Malware è un termine che indica in modo generico qualsiasi tipo di software dannoso utilizzato per ottenere l'accesso non autorizzato a un sistema informatico o a un dispositivo elettronico per un'ampia gamma di scopi, ad esempio il furto di dati o la compromissione di un sistema. Il ransomware, invece, è un malware utilizzato per infettare il sistema preso di mira e criptare o distruggerne i dati. All'obiettivo dell'attacco può essere richiesto di pagare un riscatto (ransom in inglese), per impedire all'autore dell'attacco di divulgare informazioni o per ricevere una chiave di decriptaggio per ripristinare i dati eventualmente criptati.
Dato che il modello RaaS apre le porte a un particolare tipo di cybercrimini e opera sul Dark Web, dovrebbe essere chiaro che l'intero modello di business è illegale. Qualsiasi tipo di coinvolgimento, sia come operatore che come affiliato ("abbonato"), è illegale. Ciò include la messa in vendita di soluzioni RaaS e l'acquisto di un servizio RaaS con l'intento di eseguire attacchi ransomware, violare reti, criptare dati o estorcere riscatti.
RaaS opera in base a una gerarchia organizzativa. In cima c'è l'operatore, di solito un gruppo che sviluppa il ransomware e lo rende disponibile per la vendita. L'operatore agisce essenzialmente come amministratore, supervisionando tutti gli aspetti delle operazioni commerciali del RaaS, compresa la gestione dell'infrastruttura e dell'interfaccia utente. Spesso, l'operatore gestisce anche il pagamento dei riscatti riscatto e fornisce la chiave di decriptaggio alle vittime che pagano. All'interno del gruppo dell'operatore possono esserci ruoli designati più piccoli, tra cui amministratori, sviluppatori e team di test.
Gli affiliati al RaaS, i "clienti", acquistano l'accesso al RaaS per utilizzare il ransomware dell'operatore negli attacchi. Individuano le opportunità di attacco e le mettono in opera. Il ruolo dell'affiliato è quello di identificare gli obiettivi, eseguire il ransomware, fissare il riscatto, gestire la comunicazione post-attacco e inviare le chiavi di decriptaggio dopo il pagamento del riscatto.
Nel report recente di Kaspersky per l'Anti-Ransomware Day 2023, sono stati svelati i principali vettori iniziali degli attacchi ransomware nel 2022. Dal report risulta che oltre il 40% delle aziende ha subito almeno un attacco ransomware lo scorso anno, con le piccole e medie imprese che hanno pagato in media 6.500 dollari per il recupero e le aziende più grandi che hanno sborsato ben 98.000 dollari. Lo studio ha individuato i principali punti di ingresso degli attacchi, tra cui lo sfruttamento delle applicazioni rivolte al pubblico (43%), gli account utente compromessi (24%) e le e-mail dannose (12%).
Una volta scaricato nel sistema, il ransomware tenta di disattivare il software di sicurezza degli endpoint. Dopo aver ottenuto l'accesso, l'autore dell'attacco può reinstallare gli strumenti e il malware, in modo da potersi muovere all'interno della rete e quindi diffondere il ransomware. Può quindi inviare una richiesta di riscatto, dopo aver criptato i file. In genere, ciò avviene tramite un file TXT che appare sul computer della vittima, per comunicare che il sistema è stato violato e che occorre pagare un riscatto per ricevere una chiave di decriptaggio e riprendere il controllo.
I cybercriminali possono "abbonarsi" gratuitamente al servizio Ransomware-as-a-Service (RaaS). Una volta diventati partner del programma, pagano il servizio dopo l'attacco. L'importo del pagamento corrisponde a una percentuale del riscatto pagato dalla vittima, che in genere varia dal 10 al 40% di ogni transazione. Tuttavia, accedere al programma non è semplice e occorre soddisfare requisiti rigorosi.
I cybercriminali sono diventati abili nello sviluppare i loro servizi ransomware, in modo da poter sempre soddisfare le richieste dei "clienti" che acquistano RaaS. Nel Dark Web è disponibile un'ampia gamma di programmi Ransomware-as-a-Service (RaaS) e una panoramica può essere utile per capire come e perché rappresentano una minaccia. Ecco alcuni esempi di Ransomware-as-a-Service (RaaS) diffusi negli ultimi anni.
Il ransomware è solo una delle numerose minacce di cui bisogna essere consapevoli quando si è online e dalle quali recuperare può essere impegnativo e costoso. Sebbene sia impossibile neutralizzare completamente queste minacce, esistono numerose misure e best practice che possono migliorare la cybersecurity contro RaaS e, di fatto, mitigare molti attacchi digitali. Ecco 10 suggerimenti per proteggere i dispositivi elettronici dal ransomware:
Naturalmente, anche le misure di protezione più rigorose non sono sempre in grado di prevenire un attacco ransomware. Anche se accade il peggio, ci sono ancora alcune opzioni per mitigare le conseguenze di questi attacchi.
Il ransomware è un problema di cybersecurity di per sé, ma il modello di business Ransomware-as-a-Service ha trasformato questo particolare malware in una minaccia molto più grande, dando la possibilità a un maggior numero di potenziali cybercriminali di sferrare questi attacchi senza alcuna esperienza o conoscenza particolare. Dato che questi attacchi possono avere gravi implicazioni finanziarie per le organizzazioni o i singoli individui che ne sono bersaglio, è importante conoscere i vari metodi a disposizione per proteggere i sistemi. Molti sono best practice di base per la cybersecurity, ma è consigliabile che le organizzazioni prendano in considerazione anche altre iniziative, come la formazione sulla sicurezza e il backup regolare in sistemi diversi.
Ottieni Kaspersky Premium + 1 ANNO GRATUITO di Kaspersky Safe Kids. A Kaspersky Premium sono stati assegnati cinque riconoscimenti AV-TEST per la migliore protezione, le migliori prestazioni, la VPN più veloce, il Parental Control approvato per Windows e la migliore valutazione per il Parental Control per Android.
Articoli e collegamenti correlati:
Principali attacchi ransomware
Le principali minacce ransomware
Prodotti e servizi correlati: