Ransomware-as-a-service (RaaS)

Negli ultimi anni sono aumentati gli attacchi di ransomware, che infettano i computer e costringono gli utenti a pagare multe per riavere i propri dati. Poiché le nuove tattiche del ransomware, come la doppia estorsione, si dimostrano vincenti, i criminali chiedono il pagamento di riscatti più elevati. Le richieste di riscatto sono state in media 5,3 milioni di dollari nella prima metà del 2021, un aumento del 518% rispetto allo stesso periodo del 2020. Dal 2020, il prezzo medio del riscatto è salito dell'82%. 82%, raggiungendo 570.000 dollari nella prima metà del 2021 da solo.

RaaS, o Ransomware-as-a-Service, rende questo attacco ancora più pericoloso consentendo a chiunque di lanciare attacchi ransomware su qualsiasi computer o dispositivo mobile con pochi clic. Finché dispongono di una connessione a Internet, possono prendere il controllo di un altro computer, persino quello utilizzato dal vostro capo o datore di lavoro! Ma cosa significa esattamente RaaS? 

Che cos'è il Ransomware-as-a-Service (RaaS)?

Il ransomware-as-a-service (RaaS) è diventato un modello di business popolare nell'ecosistema della criminalità informatica. Il ransomware-as-a-service consente ai criminali informatici di distribuire facilmente attacchi ransomware senza alcuna conoscenza di codifica o hacking.

Una piattaforma RaaS offre una serie di funzionalità che rendono facile per i criminali lanciare un attacco con poca o nessuna esperienza. Il fornitore RaaS fornisce il codice malware, che il cliente (attaccante) può personalizzare per adattarlo alle proprie esigenze. Dopo la personalizzazione, l'aggressore può distribuirlo istantaneamente tramite il server di comando e controllo (C&C) della piattaforma. Spesso non è necessario un server C&C; un criminale può memorizzare i file di attacco su un servizio cloud come Dropbox o Google Drive.

Il fornitore RaaS fornisce anche servizi di supporto che comprendono l'assistenza tecnica per l'elaborazione dei pagamenti e il supporto per la decodifica dopo un attacco.

Ransomware-as-a-Service spiegato in parole povere

Se avete sentito parlare di Sofware-as-a-Service e ne conoscete il funzionamento, capire RaaS dovrebbe essere un gioco da ragazzi, dato che opera su un livello simile. Anche PowerDMARC è una piattaforma SaaS, in quanto assume il ruolo di risolutore di problemi per le aziende globali, aiutandole ad autenticare i loro domini senza dover ricorrere a sforzi manuali o al lavoro umano. 

 

Questo è esattamente ciò che è il RaaS. Attori malintenzionati tecnicamente dotati su Internet formano un conglomerato che opera sotto forma di attività illegale (di solito vendono i loro servizi sul dark web), vendendo codici maligni e allegati che possono aiutare chiunque su Internet a infettare qualsiasi sistema con un ransomware. Vendono questi codici agli aggressori che non vogliono svolgere da soli la parte più difficile e tecnica del lavoro e cercano invece terze parti che li assistano. Una volta effettuato l'acquisto, l'aggressore può infettare qualsiasi sistema. 

Come funziona il Ransomware-as-a-Service?

Questa forma di modello di guadagno ha recentemente guadagnato molta popolarità tra i criminali informatici. Gli hacker installano il ransomware su una rete o un sistema, criptano i dati, bloccano l'accesso ai file e chiedono il pagamento di un riscatto per le chiavi di decrittazione. Il pagamento avviene in genere in bitcoin o in altre forme di criptovaluta. Molte famiglie di ransomware possono criptare i dati gratuitamente, rendendo il loro sviluppo e la loro diffusione economicamente vantaggiosi. L'aggressore si fa pagare solo se le vittime pagano, altrimenti non ci guadagna nulla. 

I quattro modelli di reddito RaaS:

Sebbene sia possibile creare un ransomware da zero utilizzando una botnet e altri strumenti liberamente disponibili, i criminali informatici hanno un'opzione più semplice. Invece di rischiare di essere scoperti costruendo il loro strumento da zero, i criminali possono sottoscrivere uno dei quattro modelli di base di ricavi RaaS: 

  • Programmi di affiliazione
  • Abbonamenti mensili
  • Vendite all'ingrosso
  • Vendite ibride di abbonamenti e di grandi quantità

Il più comune è un programma di affiliazione modificato, perché gli affiliati hanno meno spese generali rispetto ai criminali informatici professionisti che spesso vendono servizi di malware su forum clandestini. Gli affiliati possono iscriversi per guadagnare promuovendo siti web compromessi con link in e-mail di spam inviate a milioni di vittime nel tempo. In seguito, devono pagare solo quando ricevono un riscatto dalle vittime.

Perché il RaaS è pericoloso?

Il RaaS consente ai criminali informatici di sfruttare le loro limitate capacità tecniche per trarre profitto dagli attacchi. Se un criminale informatico ha difficoltà a trovare una vittima, può venderla a un'azienda (o a più aziende).

Se un criminale informatico trova difficile attaccare obiettivi online, ora ci sono organizzazioni che gli vendono obiettivi vulnerabili da sfruttare. In sostanza, chiunque può lanciare un attacco ransomware da qualsiasi dispositivo senza ricorrere a metodi sofisticati, esternalizzando i propri sforzi attraverso un fornitore di servizi di terze parti, rendendo l'intero processo facile e accessibile.

Come prevenire gli exploit di Ransomware-as-a-Service?

In un attacco ransomware-as-a-service, gli hacker affittano i loro strumenti ad altri criminali, che pagano per accedere al codice che li aiuta a infettare i computer delle vittime con il ransomware. I venditori che utilizzano questi strumenti vengono pagati quando i loro clienti generano entrate dalle vittime infette.

Seguire questi passaggi può aiutarvi a prevenire gli attacchi di ransomware-as-a-service:

1. Conoscere i metodi di attacco

Esistono diversi modi in cui il ransomware può infettare la vostra organizzazione. Sapere come vengono condotti gli attacchi è il modo migliore per proteggersi da essi. Conoscendo le modalità di attacco è possibile concentrarsi sui sistemi di sicurezza e sulle protezioni necessarie, anziché limitarsi a installare un software antivirus e incrociare le dita. 

Le e-mail di phishing sono un percorso comune per molti attacchi informatici. Di conseguenza, i dipendenti devono essere consapevoli di non cliccare sui link incorporati o aprire gli allegati provenienti da mittenti sconosciuti. La revisione periodica delle politiche aziendali relative agli allegati di posta elettronica può aiutare a prevenire le infezioni da truffe di phishing e altri metodi di trasmissione di malware, come macro virus e trojan.

2. Utilizzare una suite di sicurezza di sistema affidabile

Assicuratevi che sul vostro computer sia sempre installato un software di sicurezza aggiornato. Se non avete un software antivirus, prendete in considerazione l'idea di installarne subito uno. Il software antivirus è in grado di rilevare i file dannosi prima che raggiungano i computer di destinazione, impedendo che vengano arrecati danni.

3. Eseguire regolarmente il backup di tutto

Il backup di tutti i dati aiuta a prevenire la perdita di informazioni importanti se il sistema viene infettato da malware o ransomware. Tuttavia, se venite colpiti da attacchi di virus o malware, è probabile che tutti i vostri file non vengano comunque sottoposti a backup regolari, quindi assicuratevi di avere più backup in posizioni diverse, nel caso in cui uno di essi si guasti!

4. Optare per la protezione dal phishing con l'autenticazione via e-mail

Le e-mail di phishing sono vettori di attacco estremamente comuni e potenti negli exploit di ransomware. Il più delle volte, gli hacker utilizzano le e-mail per cercare di convincere le vittime a fare clic su link o allegati dannosi che possono poi infettare i loro computer con il ransomware. 

L'ideale sarebbe seguire sempre le pratiche di sicurezza più aggiornate del mercato e scaricare software solo da fonti affidabili per evitare queste truffe di phishing. Ma ammettiamolo, quando si fa parte di un'organizzazione con diversi dipendenti, è sciocco aspettarsi questo da ciascuno di essi. È inoltre impegnativo e dispendioso in termini di tempo tenere sempre sotto controllo le loro attività. Ecco perché l'implementazione di una politica DMARC è un buon modo per proteggere le e-mail dagli attacchi di phishing.

Vediamo dove si colloca il DMARC nel ciclo di vita delle infezioni di RaaS: 

  • L'attaccante acquista un allegato dannoso contenente ransomware da un operatore RaaS 
  • L'attaccante invia un'e-mail di phishing spacciandosi per l'azienda XYZ con l'allegato acquistato a una vittima ignara. 
  • Il dominio impersonato (XYZ inc.) ha attivato il DMARC, che avvia un processo di autenticazione verificando l'identità del mittente. 
  • Se la verifica fallisce, il server della vittima considera l'e-mail come dannosa e la rifiuta in base alla politica DMARC configurata dal proprietario del dominio.

Per saperne di più DMARC come prima linea di difesa contro il ransomware qui.

  • Filtraggio DNS

Il ransomware utilizza server di comando e controllo (C2) per comunicare con la piattaforma degli operatori RaaS. Una query DNS viene spesso comunicata da un sistema infetto al server C2. Le organizzazioni possono utilizzare una soluzione di sicurezza di filtraggio DNS per rilevare quando il ransomware tenta di comunicare con il server C2 di RaaS e bloccare la trasmissione. Questo può fungere da meccanismo di prevenzione delle infezioni. 

Conclusione

Sebbene il Ransomware-as-a-Service (RaaS) sia un'invenzione e una delle minacce più recenti per gli utenti digitali, è fondamentale adottare alcune misure preventive per combattere questa minaccia. Per proteggersi da questo attacco, è possibile utilizzare potenti strumenti antimalware e protocolli di sicurezza per le e-mail come una combinazione di DMARCSPF e DKIM per proteggere in modo adeguato ogni uscita.

Ultimi messaggi di Ahona Rudra (vedi tutti)