Che cos'è il Ransomware-as-a-Service (RaaS)?

Gli accordi Ransomware-as-a-service sono molto diffusi tra i criminali informatici. Il ransomware rimane una minaccia informatica estremamente comune, coinvolta nel 20% di tutti gli incidenti di criminalità informatica secondo l'IBM X-Force Threat Intelligence Index. Molti dei ceppi di ransomware più famosi e devastanti, come LockBit e BlackBasta, si diffondono tramite la vendita di RaaS.

Capire la proliferazione del modello RaaS è facile. Esternalizzando alcuni dei loro sforzi a fornitori RaaS, gli aspiranti hacker possono accedere più rapidamente e facilmente al mondo della criminalità informatica. In questo modo, anche gli aggressori con competenze tecniche limitate possono avviare attacchi informatici.

Il RaaS è vantaggioso per tutti gli attori coinvolti. Gli hacker traggono profitto dall'estorsione senza sviluppare il proprio malware. Gli sviluppatori di ransomware, invece, possono aumentare i loro profitti senza dover attaccare le reti e traggono profitto da vittime che altrimenti non avrebbero potuto localizzare.

Il RaaS funziona come i modelli di business software-as-a-service (SaaS) legittimi. Gli sviluppatori di ransomware, detti anche operatori o gruppi RaaS, si occupano dello sviluppo e del mantenimento di strumenti e infrastrutture ransomware. Confezionano i propri strumenti e servizi in kit RaaS che vendono ad altri hacker, detti affiliati RaaS.

La maggior parte degli operatori RaaS utilizza uno dei seguenti schemi di reddito per vendere i propri kit:

• Abbonamento mensile
• Tariffa una tantum
• Programmi di affiliazione
• Condivisione degli utili

Gli affiliati RaaS pagano una tariffa regolare, a volte fino a 40 dollari al mese, per l'accesso a strumenti di ransomware.

Gli affiliati pagano una somma una tantum per acquistare direttamente il codice del ransomware.

Gli affiliati pagano una tariffa mensile e condividono con gli operatori una piccola percentuale dei pagamenti del riscatto che ricevono.

Al posto di un pagamento anticipato, gli operatori percepiscono una quota significativa di ogni riscatto ricevuto dall'affiliato, spesso il 30-40%.

I kit RaaS sono pubblicizzati nei forum del dark web in tutto l'ecosistema underground‌ e alcuni operatori di ransomware reclutano attivamente nuovi affiliati, investendo milioni di dollari nelle campagne di arruolamento sul dark web.

Quando acquistano un kit RaaS, gli affiliati ricevono molto più di semplici malware e chiavi di decrittazione. Spesso ricevono un livello di servizio e supporto pari a quello dei fornitori SaaS legali. Alcuni degli operatori RaaS più sofisticati offrono servizi come:

• Assistenza tecnica continua.
• Accesso a forum privati dove gli hacker possono scambiarsi suggerimenti e informazioni.
• Portali di elaborazione dei pagamenti, perché la maggior parte dei pagamenti di riscatto sono richiesti in criptovalute non rintracciabili, come Bitcoin.
• Strumenti e supporto per scrivere richieste di riscatto personalizzate o per condurre le negoziazioni.

Tutti gli attacchi ransomware possono avere conseguenze gravi. Secondo il report Cost of a Data Breach di IBM, il costo medio di una violazione ransomware costa alla vittima 4,91 milioni di dollari. Ma gli attacchi degli affiliati RaaS rappresentano ulteriori sfide per i professionisti della cybersecurity, tra cui:

• Attribuzione incerta degli attacchi ransomware
• Specializzazione dei criminali informatici
• Minacce ransomware più resilienti
• Nuove tattiche di pressione

Nell'ambito del modello RaaS, gli esecutori di attacchi informatici potrebbero non essere le stesse persone che hanno sviluppato il malware utilizzato. Inoltre, diversi gruppi di hacker potrebbero utilizzare lo stesso ransomware. I professionisti della cybersecurity potrebbero non essere in grado di attribuire in modo definitivo gli attacchi a uno o più gruppi specifici, rendendo più difficile la profilazione e l'individuazione degli operatori e degli affiliati RaaS.

L'economia del crimine informatico, più o meno come quella legale, ha portato a una divisione del lavoro. I criminali informatici ormai possono specializzarsi, affinando le proprie abilità. Gli sviluppatori possono concentrarsi sulla scrittura di malware sempre più potente, mentre gli affiliati possono darsi allo sviluppo di metodi di attacco più efficaci.

Una terza classe di criminali informatici, detta "broker di accesso", è specializzata nelle intrusioni di rete e vendita di punti di accesso agli aggressori. La specializzazione permette agli hacker di muoversi più velocemente ed eseguire più attacchi. Secondo l'X-Force Threat Intelligence Index, il tempo medio di preparazione e avvio di un attacco ransomware è sceso da oltre 60 giorni nel 2019 agli attuali 3,84 giorni. 

Il RaaS consente agli operatori e agli affiliati di condividere il rischio, rendendoli più resilienti. La cattura di affiliati non comporta la chiusura delle attività da parte degli operatori e gli affiliati possono passare a un altro kit ransomware se un operatore viene catturato. Sappiamo anche che gli hacker riorganizzano e rinominano il proprio business per eludere le autorità.

Ad esempio, dopo che l'Office of Foreign Assets Control (OFAC) degli Stati Uniti ha sanzionato la banda di ransomware Evil Corp, le vittime hanno smesso di pagare i riscatti per evitare le sanzioni dell'OFAC. In risposta, Evil Corp ha cambiato il nome del suo ransomware per continuare a ricevere i pagamenti.

I criminali informatici che utilizzano gli attacchi RaaS hanno scoperto che spesso possono chiedere il pagamento di riscatti più elevati e più rapidi se non crittografano i dati della vittima. La fase ulteriore di ripristino dei sistemi può rallentare i pagamenti. Un numero maggiore di organizzazioni ha migliorato le proprie strategie di backup and recovery, rendendo la crittografia meno dannosa.

Per questo, i criminali informatici preferiscono attaccare le organizzazioni con grandi quantità di informazioni di identificazione personale (PII) sensibili, come le organizzazioni sanitarie, minacciando di divulgare le informazioni rubate. Piuttosto che subire l'imbarazzo e le possibili ripercussioni legali associate a una fuga di notizie, le vittime spesso pagano il riscatto.

Determinare quali gruppi siano responsabili di un determinato ransomware o chi abbia iniziato un attacco può essere difficile. Tuttavia, nel corso degli anni i professionisti della sicurezza informatica hanno identificato alcuni dei principali operatori RaaS, tra cui:

• Tox
• LockBit
• DarkSide
• REvil/Sodinokibi
• Ryuk
• Hive
• Black Basta
• CL0P
• Eldorado

Identificato per la prima volta nel 2015, è considerato da molti il primo RaaS.

Secondo l'X-Force Threat Intelligence Index, LockBit è una delle varianti RaaS più diffuse. Si diffonde spesso tramite e-mail di phishing. In particolare, la banda di LockBit ha cercato di reclutare affiliati tra i collaboratori delle vittime designate, rendendo più facili le intrusioni.

Variante utilizzata nell'attacco del 2021 alla compagnia statunitense proprietaria dell'oleodotto Colonial Pipeline, ad oggi il peggior attacco informatico contro infrastrutture critiche degli Stati Uniti.DarkSide ha interrotto le attività nel 2021, ma i suoi sviluppatori hanno rilasciato un kit RaaS successivo chiamato BlackMatter.

REvil, noto anche come Sodin o Sodinokibi, ha prodotto il ransomware con cui nel 2021 sono stati condotti attacchi contro JBS USA e Kaseya Limited. Al suo apice, REvil era una delle varianti di ransomware più diffuse. Agli inizi del 2022 il servizio di sicurezza federale russo ha fermato REvil e processato diversi dei suoi membri chiave.

Prima della chiusura nel 2021, Ryuk era una delle maggiori operazioni RaaS. Gli sviluppatori di Ryuk hanno poi rilasciato Conti, un'altra importante variante di RaaS, che è stata utilizzata in un attacco contro il governo del Costa Rica nel 2022.

Hive è salito alla ribalta nel 2022 dopo un attacco a Microsoft Exchange Server. Gli affiliati di Hive rappresentavano una minaccia significativa per le società finanziarie e le organizzazioni sanitarie fino a quando l'FBI non ha arrestato l'operatore.

Arrivato come minaccia nel 2022, Black Basta ha subito mietuto più di 100 vittime in Nord America, Europa e Asia. Utilizzando attacchi mirati, gli hacker richiedevano una doppia estorsione: sia per decriptare i dati della vittima, sia con la minaccia di divulgare informazioni sensibili al pubblico.

Nel 2023, il gruppo ransomware CL0P ha sfruttato una vulnerabilità nell'applicazione di trasferimento file MOVEit per esporre informazioni su milioni di persone.

Il RaaS Eldorado è stato annunciato all'inizio del 2024 in un'inserzione pubblicitaria su un forum di ransomware. Nel giro di tre mesi, 16 vittime sono state colpite negli Stati Uniti e in Europa.¹

Sebbene il RaaS abbia modificato il panorama minacce, molte delle pratiche standard per la protezione contro il ransomware possono ancora essere efficaci per combatterne gli attacchi.

Molti affiliati RaaS sono meno esperti dal punto di vista tecnico rispetto agli aggressori ransomware precedenti. Porre ostacoli sufficienti tra gli hacker e gli asset di rete può scoraggiare del tutto alcuni attacchi RaaS. Alcune tattiche di cybersecurity utili sono:

• Piani completi di risposta agli incidenti
• Strumenti di rilevamento basati sulle anomalie
• Riduzione della superficie di attacco della rete
• Formazione sulla cybersecurity
• Implementazione dei controlli di accesso
• Mantenimento dei backup
• Collaborazione con le forze dell'ordine

Pianificare la risposta agli incidenti può essere particolarmente utile per gli attacchi RaaS. Poiché l'attribuzione degli attacchi può essere difficile, i team di risposta agli incidenti non possono contare sull'idea che gli attacchi ransomware utilizzino sempre le stesse tattiche, tecniche e procedure (TTP).

Inoltre, quando gli addetti alla risposta agli incidenti espellono affiliati RaaS, sulle loro reti potrebbero essere ancora attivi broker di accesso. Un rilevamento delle minacce proattivo e indagini approfondite sugli incidenti possono aiutare i team addetti alla sicurezza a eliminare queste minacce evasive.

Per identificare gli attacchi ransomware in corso, le organizzazioni possono utilizzare strumenti di rilevamento basati sulle anomalie, come alcune soluzioni di rilevamento e risposta degli endpoint (EDR) e di rilevamento e risposta della rete (NDR) . Questi strumenti sfruttano funzioni di automazione intelligente, intelligenza artificiale (AI) e apprendimento automatico (ML) per rilevare minacce nuove e avanzate quasi in tempo reale e garantire una maggiore protezione degli endpoint.

Un attacco ransomware potrebbe essere individuato nelle prime fasi come un processo di cancellazione o una crittografia dei backup che si avvia da sola senza preavviso. Anche prima di un'aggressione, gli eventi anomali potrebbero essere i "segnali premonitori" di un attacco imminente che il team di sicurezza può prevenire.

Le organizzazioni possono contribuire a ridurre le superfici di attacco della rete eseguendo frequenti valutazioni delle vulnerabilità e applicando regolarmente patch per colmare le vulnerabilità di cui solitamente gli aggressori si approfittano.

Anche strumenti di sicurezza come software antivirus, l'orchestrazione della sicurezza, automazione e risposta (SOAR),  la gestione delle informazioni e degli eventi di sicurezza (SIEM) e il rilevamento e risposta estesi (XDR) possono aiutare i team di sicurezza a intercettare i ransomware più velocemente.

Mostra ai dipendenti come riconoscere ed evitare i vettori di ransomware più comuni, fra cui phishing, social engineering e link dannosi.

L'autenticazione a più fattori, l'architettura zero-trust e la segmentazione di rete sono altri strumenti per evitare che il ransomware raggiunga i dati sensibili.

Le organizzazioni possono eseguire regolarmente il backup dei dati sensibili e delle immagini di sistema, idealmente su dischi rigidi o altri dispositivi che possono essere disconnessi dalla rete.

Inoltre, a volte possono risparmiare sui costi e sui tempi di contenimento con l'aiuto delle forze dell'ordine.

Le vittime di ransomware che hanno coinvolto le forze dell'ordine hanno ridotto il costo delle loro violazioni in media di quasi 1 milione di dollari, escluso il costo di qualsiasi riscatto pagato, secondo il Cost of a Data Breach Report di IBM. Il coinvolgimento delle forze dell'ordine ha inoltre contribuito a ridurre il tempo necessario per identificare e contenere le violazioni da 297 a 281 giorni.