Cos'è il Ransomware-as-a-Service (RaaS)?

Il ransomware-as-a-service (RaaS) consente sia agli aggressori esperti che a quelli non qualificati di noleggiare strumenti ransomware ed eseguire attacchi.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire il ransomware-as-a-service (RaaS)
  • Comprendere il modello di business RaaS
  • Scoprire come difendersi dagli attacchi RaaS

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è il Ransomware-as-a-Service (RaaS)?

Il ransomware-as-a-service (RaaS) è un modello di business per le imprese criminali che consente a chiunque di registrarsi e utilizzare strumenti per condurre attacchi ransomware. Analogamente ad altri modelli as-a-service quali software-as-a-service (SaaS) o platform-as-a-service (PaaS), i clienti RaaS noleggiano servizi ransomware anziché possederli come avviene in un modello di distribuzione software tradizionale.

Il ransomware è malware che blocca il sistema o i file di una vittima, di solito tramite crittografia. La vittima può riottenere l'accesso ai propri dati solo dopo aver pagato un riscatto alle parti che hanno lanciato l'attacco ransomware. Il ransomware è diventato un'importante industria nel mondo criminale, con un fatturato di miliardi di dollari all'anno.

Mentre molti credono che dietro ad attacchi informatici come il ransomware ci siano programmatori altamente qualificati, molti aggressori non scrivono codice proprio e potrebbero non sapere nemmeno come farlo. Spesso i criminali informatici con competenze di programmazione vendono o noleggiano gli exploit che sviluppano invece di utilizzarli personalmente.

Il ransomware è solo un settore del settore della criminalità informatica che adotta un modello "as-a-service". Gli aggressori possono anche noleggiare strumenti DDoS, iscriversi a liste di credenziali rubate, noleggiare botnet o noleggiare trojan bancari, tra gli altri servizi.

Come funziona il ransomware-as-a-service?

I servizi RaaS utilizzano diversi modelli di ricavi. I provider possono applicare un abbonamento mensile forfettario, trattenere una percentuale sui profitti dei propri clienti, utilizzare un ibrido di questi due modelli o addebitare un costo di licenza una tantum. Una volta che un cliente RaaS crea un account ed effettua il suo primo pagamento (solitamente in Bitcoin), può selezionare il tipo di malware che desidera utilizzare.

Una volta completato il pagamento, gli aggressori avviano la campagna di distribuzione del malware e di infezione delle vittime. Nella maggior parte dei casi, gli autori di attacchi ransomware utilizzano campagne di phishing o di social engineering per cercare di indurre gli utenti a eseguire il malware. Questi metodi sono piuttosto economici rispetto all'acquisto di un exploit zero-day o all'accesso a una backdoor. Una volta eseguito il malware, il computer della vittima diventa crittografato e inutilizzabile e l'aggressore visualizza un messaggio con le istruzioni su dove inviare il riscatto.

I provider RaaS spesso offrono assistenza clienti 24 ore su 24, 7 giorni su 7, per gli aggressori che si bloccano o non riescono a far funzionare correttamente il loro malware. La maggior parte dei provider dispone di forum della community in cui i clienti possono porre domande e scambiare idee. Molti offrono anche guide dettagliate su come eseguire un attacco ransomware con i loro strumenti.

Chi utilizza RaaS?

Alcuni provider RaaS sono piuttosto esigenti quando si tratta di vendere il loro software. Potrebbero volere clienti altamente qualificati che puntino a grandi obiettivi, il che costituisce un'ottima pubblicità per il loro servizio. Potrebbero avere altri requisiti, come parlare una determinata lingua o la capacità di iniziare subito a utilizzare il servizio e generare entrate dal ransomware.

Altri venderanno i loro servizi praticamente a chiunque, purché il cliente sia in grado di effettuare il pagamento o di generare entrate sotto forma di riscatti. Ciò rappresenta un piccolo rischio per i provider RaaS, poiché inevitabilmente alcuni clienti potrebbero essere piuttosto inesperti e venire scoperti.

Negli ultimi anni, molti fornitori di RaaS sono diventati più attenti ai settori a cui consentono ai propri clienti di rivolgersi. Ad esempio, potrebbero vietare gli attacchi alle infrastrutture critiche o alle strutture mediche, poiché tali attacchi potrebbero avere un impatto negativo sulla salute delle persone o addirittura causarne la morte. Questi eventi estremi attirano indebitamente l'attenzione sul mercato RaaS e i fornitori di RaaS potrebbero avere obiezioni morali all'impatto anche sulla salute fisica di qualcuno (anziché sul suo conto in banca).

Quali sono alcuni esempi di attacchi ransomware-as-a-service?

Negli ultimi anni gli attacchi che utilizzano RaaS sono diventati comuni. Alcuni esempi:

  • DarkSide è un gruppo ransomware che vende RaaS. L'attacco al Colonial Pipeline del 2021 è stato attribuito a DarkSide.
  • REvil viene venduto come RaaS. L'attacco ransomware del 2021 al fornitore IT Kaseya ha utilizzato il ransomware REvil.
  • Il ransomware Dharma viene venduto come servizio ed è stato utilizzato in decine, se non centinaia, di attacchi dal 2016.

RaaS riduce notevolmente la barriera d'ingresso per questa redditizia forma di crimine informatico: chiunque disponga di un computer e di una connessione Internet può sferrare un attacco ransomware. Per questo motivo, è probabile che gli attacchi RaaS continuino a proliferare nei prossimi anni.

I criminali dove acquistano il ransomware-as-a-service?

Come qualsiasi servizio cloud, i servizi RaaS vengono acquistati e accessibili tramite Internet. Solitamente, RaaS viene distribuito tramite forum dedicati ai malware sul dark Web. Il "dark Web" è una parte di Internet a cui si può accedere solo tramite un browser Tor, che nasconde la posizione dell'utente e il suo indirizzo IP.

In che modo i provider ransomware-as-a-service commercializzano i loro servizi?

Il RaaS è competitivo tanto quanto qualsiasi altro settore e molti provider commercializzano i propri servizi in modo aggressivo. I provider RaaS dispongono di account Twitter, siti web, contenuti video e altre risorse di marketing. Spesso eseguono campagne di marketing per aumentare il business. La maggior parte degli strumenti RaaS ha anche recensioni degli utenti e forum della community.

Come difendersi dagli attacchi ransomware-as-a-service

Diverse misure di sicurezza possono aiutare le organizzazioni a difendersi sia dagli attacchi ransomware-as-a-service che dagli attacchi malware in generale:

  • Formazione sulla sicurezza degli utenti: formare dipendenti, appaltatori e altri utenti a riconoscere gli attacchi di phishing e di social engineering riduce la probabilità di successo di un attacco RaaS.
  • Sicurezza della posta elettronica: molti attacchi ransomware iniziano con un allegato e-mail infetto. La scansione delle e-mail alla ricerca di malware e il blocco degli allegati provenienti da fonti non attendibili possono aiutare a eliminare questo vettore di attacco.
  • Backup frequenti dei dati: il ransomware impedisce alle organizzazioni di accedere o utilizzare i propri dati. Ma in molti casi, un'organizzazione può ripristinare i propri dati da un backup anziché pagare il riscatto per decrittografarli o ricostruire da zero l'intera infrastruttura IT.

Per saperne di più sulla difesa dagli attacchi RaaS, vedere Come prevenire il ransomware.