Gruppo TIM
Gruppo TIM

Il Ransomware as a Service (RaaS)

Il ransomware sta evolvendo da un modello di attacco lineare a un insidioso modello di Ransomware as a Service (RaaS): gli attaccanti si concentrano sempre più sullo sviluppo dei software, mentre lasciano a soggetti terzi individuare le vittime e il deploy del software malevolo.

 

Cos’è il Ransomware as a Service?

Il Ransomware as a Service (RaaS) è un modello di business utilizzato dagli sviluppatori di ransomware, in cui si affittano varianti di ransomware nello stesso modo in cui gli sviluppatori di software legittimi affittano prodotti SaaS. 

Il RaaS offre a tutti, anche alle persone senza molte conoscenze tecniche, la possibilità di lanciare attacchi ransomware semplicemente registrandosi a un servizio.

I kit RaaS consentono agli attori malintenzionati che non hanno le capacità o il tempo per sviluppare le proprie varianti di ransomware per essere operativi in modo rapido e conveniente. 

Sono facili da trovare nel dark web, dove vengono pubblicizzati nello stesso modo in cui le merci vengono pubblicizzate sul web legittimo.

Un kit RaaS può includere supporto 24 ore su 24, 7 giorni su 7, recensioni degli utenti, forum e altre funzionalità di assistenza clienti. 

Il prezzo dei kit può variare da 40 dollari al mese a diverse migliaia di dollari – importi insignificanti, considerando che la richiesta media di riscatto nel 2020 è stata di 170.404 dollari e con tendenza al rialzo (fonte: “The State of Ransomware 2021” – Sophos).

 

Come funziona il modello RaaS

Esistono quattro modelli di revenue RaaS comuni:

• Abbonamento mensile a tariffa fissa

• Programmi di affiliazione, che sono gli stessi di un modello di canone mensile ma con una percentuale dei profitti (tipicamente 20-30%) che va all’operatore RaaS

• Canone di licenza una tantum senza partecipazione agli utili

• Pura partecipazione agli utili

Un cliente accede semplicemente al portale RaaS, crea un account, paga in Bitcoin, inserisce i dettagli sul tipo di malware che desidera creare e fa clic sul pulsante di invio. 

Gli abbonati possono avere accesso al supporto, alle community, alla documentazione, agli aggiornamenti delle funzionalità e ad altri vantaggi identici a quelli ricevuti dagli abbonati ai prodotti SaaS legittimi. 

Gli operatori RaaS più sofisticati offrono portali che consentono ai propri abbonati di visualizzare lo stato delle infezioni, il totale dei pagamenti, il totale dei file crittografati e altre informazioni sui propri obiettivi.

Il mercato RaaS è competitivo. Oltre ai portali RaaS, gli operatori RaaS eseguono campagne di marketing e hanno siti web che assomigliano esattamente alle campagne e ai siti della propria azienda.

Il RaaS è un business, ed è un grande business: i ricavi totali del ransomware nel 2020 sono stati di circa 20 miliardi di dollari nel 2020, rispetto agli 11,5 miliardi dell’anno precedente.

Alcuni esempi ben noti di kit RaaS includono Locky, Goliath, Shark, Stampado, Encryptor e Jokeroo, ma ce ne sono molti altri e gli operatori RaaS scompaiono regolarmente, si riorganizzano e riemergono con nuove e migliori varianti di ransomware.

 

Esempi di RaaS

DarkSide

Gli operatori DarkSide tradizionalmente si sono concentrati su macchine Windows e si sono recentemente espansi su Linux, prendendo di mira ambienti aziendali che eseguono hypervisor VMware ESXi senza patch o rubano credenziali vCenter. 

Il 10 maggio, l’FBI ha pubblicamente indicato che l’incidente della Colonial Pipeline ha coinvolto il ransomware DarkSide. 

In seguito, è stato riferito che Colonial Pipeline aveva circa 100 GB di dati rubati dalla loro rete e che l’organizzazione avrebbe pagato quasi 5 milioni di dollari a un affiliato di DarkSide.

REvil

REvil, noto anche come Sodinokibi, è stato identificato come il ransomware dietro una delle più grandi richieste di riscatto mai registrate: 10 milioni di dollari. 

È venduto dal gruppo criminale PINCHY SPIDER, che vende RaaS secondo il modello di affiliazione e in genere prende il 40% dei profitti.

PICHY SPIDER avverte le vittime della fuga di dati pianificata, di solito tramite un post sul loro DLS contenente dati di esempio come prova, prima di rilasciare la maggior parte dei dati dopo un determinato periodo di tempo. 

REvil fornisce anche un collegamento al post del blog all’interno della richiesta di riscatto. 

Il collegamento mostra la perdita alla vittima colpita prima di essere esposta al pubblico. 

Dopo aver visitato il collegamento, inizierà un conto alla rovescia, che farà sì che la perdita venga pubblicata una volta trascorso il periodo di tempo specificato.

Dharma

Gli attacchi ransomware Dharma sono stati attribuiti a un gruppo di minacce iraniano mosso da obiettivi puramente a scopo di lucro. 

Questo RaaS è disponibile sul dark web dal 2016 ed è principalmente associato agli attacchi del protocollo desktop remoto (RDP). 

Gli aggressori di solito richiedono un riscatto di 1-5 bitcoin a bersagli in una vasta gamma di settori.

Dharma non è controllato in modo centralizzato, a differenza di REvil e di altri kit RaaS.

Poiché gli attacchi Dharma sono quasi identici, i threat hunter non sono in grado di utilizzare un incidente per imparare molto su chi c’è dietro un attacco Dharma e su come opera.

LockBit

In sviluppo almeno dal settembre 2019, LockBit è disponibile come RaaS, pubblicizzato per utenti di lingua russa o anglofoni con un garante di lingua russa. 

Nel maggio 2020, un affiliato che gestisce LockBit ha pubblicato una minaccia di fuga di dati su un popolare forum criminale in lingua russa.

Oltre alla minaccia, l’affiliato fornisce prove, come uno screenshot di un documento di esempio contenuto nei dati della vittima. 

Una volta scaduto il termine, è noto che l’affiliato pubblica un mega[.]nz link per scaricare i dati della vittima rubata. 

 

Come prevenire gli attacchi RaaS

Il ripristino da un attacco ransomware è difficile e costoso e, di conseguenza, è meglio prevenirlo del tutto.

I passaggi per prevenire un attacco RaaS sono gli stessi della prevenzione di qualsiasi attacco ransomware, perché RaaS è solo un pacchetto ransomware per facilità d’uso da parte di chiunque abbia cattive intenzioni:

• Implementare una protezione degli endpoint affidabile e moderna in grado di funzionare su algoritmi avanzati e funzionare automaticamente in background 24 ore su 24

• Eseguire backup regolari e frequenti. Se un backup viene eseguito solo ogni fine settimana, un attacco ransomware potrebbe costare un’intera settimana di lavoro

• Effettuare più backup e archiviarli su dispositivi separati in posizioni diverse

• Testare regolarmente i backup per assicurarsi che possano essere recuperati

• Mantenere un rigoroso programma di patch per proteggersi da vulnerabilità note e sconosciute

• Segmentare la rete per ostacolare la proliferazione nell’ambiente

• Implementare una protezione anti-phishing avanzata

• Investire nella formazione degli utenti e costruire una cultura della sicurezza

Per le aziende:

• Formare il personale nell’uso consapevole degli strumenti informatici; educarli alla prudenza nell’apertura di email e allegati, nella navigazione internet, e nella gestione delle credenziali di sicurezza

• Mantenere aggiornati e monitorati tutti i sistemi, dagli apparati di rete ai server, PC e dispositivi connessi alla propria rete dati

• Utilizzare soluzioni antivirus e anti malware affidabili

• Stabilire policy di sicurezza informatica adeguate nel flusso del lavoro e dei dati

• Predisporre e monitorare un sistema di backup efficiente

Tutto questo potrebbe fare la differenza: lavorare serenamente e concentrarsi sulla produttività della propria azienda o combattere con perdita di dati, fermi lavoro, perdite economiche e danni d’immagine. 

Essere consapevoli delle azioni per mettere in sicurezza la propria azienda significa spesso essere consapevoli di non essere in grado di valutare in proprio la bontà delle azioni intraprese. 

Per questo motivo diventa fondamentale rivolgersi ad un consulente cybersecurity qualificato. 

Resta inteso che sfruttare strumenti come il vulnerability assessment aiuta le aziende a individuare ogni genere di falla di sicurezza.