Cos’è il RaaS (Ransomware as a Service)
Un modello di business noto come RaaS (Ransomware as a service), si svolge tra operatori di ransomware e affiliati, in cui gli affiliati pagano gli operatori per avviare attacchi ransomware. I kit RaaS “fai da te” consentono agli affiliati di essere operativi in modo rapido ed economico anche se non hanno le conoscenze o il tempo per creare il proprio tipo di ransomware.
Nel dark web, la offerta di servizi RaaS vengono pubblicizzati in modo simile a come vengono pubblicizzati i prodotti su Internet.
Come funziona il RaaS
Gli autori di malware affittano il loro malware e l’infrastruttura che lo ha creato e lo alimenta, ad altri criminali informatici attraverso un’attività di cloud computing chiamata MaaS (Malware as a Service).
Poiché i clienti possono accedere al software e all’infrastruttura senza doverli installare e mantenere, il MaaS è paragonabile ai modelli software-as-a-service (SaaS).
MaaS e RaaS (Ransomware-as-a-Service) si differenziano per il fatto che MaaS è utilizzato per diffondere varie forme di malware, mentre RaaS è utilizzato solo per diffondere ransomware.
I due servizi sono equivalenti in termini di funzionalità, differiscono solo per il tipo di virus diffuso. Sia MaaS che RaaS fanno pagare ai clienti un prezzo per l’utilizzo del servizio ed entrambi forniscono assistenza tecnica e strumenti di amministrazione.
Il modello MaaS
Il modello MaaS (Malware as a Service) è una forma dannosa del concetto SaaS (Software as a Service).
Il modello RaaS è un sottoinsieme di vari MaaS, che rende semplice per le persone che non hanno una formazione o un’esperienza precedente ricevere facilmente ricompense significative da attacchi dannosi.
RaaS viene fornito con un pacchetto molto ampio di servizi e istruzioni. Il pacchetto comprende: il ransomware compilato o il suo codice sorgente, gli strumenti per la personalizzazione del ransomware, i programmi che estraggono i dati prima della crittografia, l’infrastruttura per la gestione del ransomware, un control panel, il supporto tecnico, un forum privato per la condivisione delle informazioni.
I modelli di business RaaS
Esistono diversi modelli di business a seconda della spartizione degli utili del RaaS e dei compiti prestabiliti degli operatori e degli affiliati in cui a ciascuno viene assegnato un ruolo particolare da svolgere.
I modelli di business più comuni sono i seguenti:
- offerta di piani di abbonamento mensili,
- offerta di accordi di condivisione degli utili con una percentuale stabilita
- utilizzo del marketing di affiliazione.
L’accordo di condivisione degli utili, che divide il denaro del riscatto tra l’operatore del ransomware e un affiliato, è il modello di guadagno più utilizzato.
Anche se leggermente meno comuni, gli altri modelli di guadagno sono ancora in uso.
L’affiliato deve pagare all’operatore una quota una tantum per l’utilizzo del kit RaaS al fine di addebitare un costo forfettario una tantum. I piani per gli abbonamenti mensili sono paragonabili, ma l’affiliato paga un costo continuo.
Invece, nel caso di marketing di affiliazione, l’operatore compensa l’affiliato per ogni attacco riuscito.
Com’è nato il ransomware
In passato, gli attacchi ransomware erano automatizzati ed eseguiti su scala molto più ridotta rispetto ad oggi.
Funzionava così: si faceva un invio di email massive con un allegato e, quando il ricevente faceva doppio clic su di esso, il ransomware iniziava a girare sul suo computer. Il computer dell’utente veniva bloccato e questi riceveva la richiesta di pagamento di circa 300 dollari in Bitcoin per sbloccarlo. Gli aggressori inviavano un gran numero di queste e-mail, i dati di molti destinatari venivano bloccati con la crittografia e molti di loro pagavano agli aggressori qualche centinaio di dollari. In pratica, questo era il modello di business dei “vecchi tempi”.
In seguito, però, i gruppi di ransomware hanno intravisto un’enorme opportunità.
L’evoluzione degli attacchi di ransomware
Gli attacchi ransomware sono ora più mirati di quanto non lo siano sempre stati, perché gli attacchi RaaS sono gestiti “ad personam”. Gli attacchi mirati sono molto più dannosi di quelli con invio di email massive.
Gli aggressori investono più tempo, risorse e sforzi in attacchi mirati per ottenere l’accesso alla rete aziendale e rubare informazioni. Questi attacchi spesso ottengono l’accesso sfruttando falle di sicurezza ben note.
Gli affiliati RaaS possono scegliere esattamente quando sferrare un attacco perché gli attacchi RaaS sono mirati e gestiti in modo personalizzato. Questo include anche approfittare dei periodi in cui le aziende sono più vulnerabili, come i fine settimana o le vacanze.
Per gli attaccanti la prima fase dell’attacco è la più importante dato che bisogna portare a termine la intrusione, la crittografia dei dati ed il download dei dati stessi. Il download dei dati viene effettuato per poter esercitare più pressione sull’azienda nel caso si rifiutasse di pagare, in quanto in tal caso i suoi dati verrebbero resi pubblici o venduti nel dark web a chi potrebbe farne un uso illecito.
Una delle maggiori innovazioni nello spazio RaaS negli ultimi anni è stato l’uso di schemi di doppia estorsione, in cui gli aggressori rubano i dati prima di crittografarli e minacciano di renderli pubblici se non viene pagato il riscatto.
Modello della doppia estorsione
Purtroppo la doppia estorsione è diventata molto comune negli ultimi anni. I dati sottratti alle aziende vengono fatti trapelare al fine di dimostrare l’avvenuto accesso ai dati e di accelerare le trattativa. Addirittura alcune bande non si preoccupano più di crittografare i dati, perché il risultato economico viene comunque ottenuto.
Negli ultimi anni le aziende sono molto più coscienti dei rischi che comporta un attacco ransomware, e per questo si sono attrezzate con backup molto più frequenti. Quindi in caso di crittografia dei dati, sono molto meno vulnerabili. Invece la diffusione pubblica dei dati comporta sempre dei gravi danni di reputazione e di costi per la perdita di funzionalità.
Vendita dell’accesso
Negli ultimi tempi si è scoperto che i delinquenti, dopo aver perpetrato un attacco ransomware, diffondono notizie e prove dell’effrazione nel dark web al fine di vendere l’accesso alla rete aziendale. Si sono visti annunci di questo tipo in cui si promette l’accesso alla rete oltre a vendere il pacchetto di dati già sottratto. In questo modo i delinquenti possono aprire un asta tra l’azienda danneggiata dal ransomware e dall’eventuale compratore che vuole impossessarsi delle informazioni riservate dell’impresa.
Si calcola che circa l’80% delle imprese accetti di pagare il riscatto. Ma essere vittima di un ransomware è sempre traumatico e può frenare la crescita dell’impresa. E’ imperativo per le aziende, adottare delle rigorose misure di sicurezza per proteggersi da questa calamità che pone in serio pericolo lo sviluppo e la produttività delle imprese stesse.