Il ransomware-as-a-service (RaaS) consente sia agli aggressori esperti che a quelli non qualificati di noleggiare strumenti ransomware ed eseguire attacchi.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Il ransomware-as-a-service (RaaS) è un modello di business per le imprese criminali che consente a chiunque di registrarsi e utilizzare strumenti per condurre attacchi ransomware. Analogamente ad altri modelli as-a-service quali software-as-a-service (SaaS) o platform-as-a-service (PaaS), i clienti RaaS noleggiano servizi ransomware anziché possederli come avviene in un modello di distribuzione software tradizionale.
Il ransomware è malware che blocca il sistema o i file di una vittima, di solito tramite crittografia. La vittima può riottenere l'accesso ai propri dati solo dopo aver pagato un riscatto alle parti che hanno lanciato l'attacco ransomware. Il ransomware è diventato un'importante industria nel mondo criminale, con un fatturato di miliardi di dollari all'anno.
Mentre molti credono che dietro ad attacchi informatici come il ransomware ci siano programmatori altamente qualificati, molti aggressori non scrivono codice proprio e potrebbero non sapere nemmeno come farlo. Spesso i criminali informatici con competenze di programmazione vendono o noleggiano gli exploit che sviluppano invece di utilizzarli personalmente.
Il ransomware è solo un settore del settore della criminalità informatica che adotta un modello "as-a-service". Gli aggressori possono anche noleggiare strumenti DDoS, iscriversi a liste di credenziali rubate, noleggiare botnet o noleggiare trojan bancari, tra gli altri servizi.
I servizi RaaS utilizzano diversi modelli di ricavi. I provider possono applicare un abbonamento mensile forfettario, trattenere una percentuale sui profitti dei propri clienti, utilizzare un ibrido di questi due modelli o addebitare un costo di licenza una tantum. Una volta che un cliente RaaS crea un account ed effettua il suo primo pagamento (solitamente in Bitcoin), può selezionare il tipo di malware che desidera utilizzare.
Una volta completato il pagamento, gli aggressori avviano la campagna di distribuzione del malware e di infezione delle vittime. Nella maggior parte dei casi, gli autori di attacchi ransomware utilizzano campagne di phishing o di social engineering per cercare di indurre gli utenti a eseguire il malware. Questi metodi sono piuttosto economici rispetto all'acquisto di un exploit zero-day o all'accesso a una backdoor. Una volta eseguito il malware, il computer della vittima diventa crittografato e inutilizzabile e l'aggressore visualizza un messaggio con le istruzioni su dove inviare il riscatto.
I provider RaaS spesso offrono assistenza clienti 24 ore su 24, 7 giorni su 7, per gli aggressori che si bloccano o non riescono a far funzionare correttamente il loro malware. La maggior parte dei provider dispone di forum della community in cui i clienti possono porre domande e scambiare idee. Molti offrono anche guide dettagliate su come eseguire un attacco ransomware con i loro strumenti.
Alcuni provider RaaS sono piuttosto esigenti quando si tratta di vendere il loro software. Potrebbero volere clienti altamente qualificati che puntino a grandi obiettivi, il che costituisce un'ottima pubblicità per il loro servizio. Potrebbero avere altri requisiti, come parlare una determinata lingua o la capacità di iniziare subito a utilizzare il servizio e generare entrate dal ransomware.
Altri venderanno i loro servizi praticamente a chiunque, purché il cliente sia in grado di effettuare il pagamento o di generare entrate sotto forma di riscatti. Ciò rappresenta un piccolo rischio per i provider RaaS, poiché inevitabilmente alcuni clienti potrebbero essere piuttosto inesperti e venire scoperti.
Negli ultimi anni, molti fornitori di RaaS sono diventati più attenti ai settori a cui consentono ai propri clienti di rivolgersi. Ad esempio, potrebbero vietare gli attacchi alle infrastrutture critiche o alle strutture mediche, poiché tali attacchi potrebbero avere un impatto negativo sulla salute delle persone o addirittura causarne la morte. Questi eventi estremi attirano indebitamente l'attenzione sul mercato RaaS e i fornitori di RaaS potrebbero avere obiezioni morali all'impatto anche sulla salute fisica di qualcuno (anziché sul suo conto in banca).
Negli ultimi anni gli attacchi che utilizzano RaaS sono diventati comuni. Alcuni esempi:
RaaS riduce notevolmente la barriera d'ingresso per questa redditizia forma di crimine informatico: chiunque disponga di un computer e di una connessione Internet può sferrare un attacco ransomware. Per questo motivo, è probabile che gli attacchi RaaS continuino a proliferare nei prossimi anni.
Come qualsiasi servizio cloud, i servizi RaaS vengono acquistati e accessibili tramite Internet. Solitamente, RaaS viene distribuito tramite forum dedicati ai malware sul dark Web. Il "dark Web" è una parte di Internet a cui si può accedere solo tramite un browser Tor, che nasconde la posizione dell'utente e il suo indirizzo IP.
Il RaaS è competitivo tanto quanto qualsiasi altro settore e molti provider commercializzano i propri servizi in modo aggressivo. I provider RaaS dispongono di account Twitter, siti web, contenuti video e altre risorse di marketing. Spesso eseguono campagne di marketing per aumentare il business. La maggior parte degli strumenti RaaS ha anche recensioni degli utenti e forum della community.
Diverse misure di sicurezza possono aiutare le organizzazioni a difendersi sia dagli attacchi ransomware-as-a-service che dagli attacchi malware in generale:
Per saperne di più sulla difesa dagli attacchi RaaS, vedere Come prevenire il ransomware.