Che cos’è il Ransomware-as-a-Service?

Il Ransomware-as-a-Service (RaaS) è un modello di business in cui i cybercriminali sviluppano e vendono ransomware ad acquirenti, detti affiliati, che lo utilizzano per sferrare attacchi ransomware. Il ransomware è un tipo di malware che impedisce agli utenti di accedere ai propri dati o dispositivi crittografandoli e bloccando gli utenti finché non viene pagato un riscatto.

In genere, i cybercriminali devono possedere una qualche conoscenza di programmazione per sviluppare e sferrare attacchi ransomware. Tuttavia, il RaaS abbassa la barriera d’ingresso e consente a chiunque non abbia competenze di programmazione di acquistare un ransomware pronto all’uso per sferrare attacchi. Il RaaS ha aumentato il numero di attacchi ransomware subiti dalle organizzazioni.

Continua a leggere per scoprire di più sul Ransomware-as-a-Service, su come funziona, sulle varianti dei kit di ransomware e su come prevenire questo tipo di attacchi.

Come funziona il Ransomware-as-a-Service?

Il RaaS èun modello di business dal funzionamento analogo al Software-as-a-Service (SaaS), che permette di accedere al software online attraverso un servizio in abbonamento.

Per vendere il proprio ransomware, gli operatori RaaS utilizzano i seguenti modelli di reddito:

• Abbonamento: gli affiliati pagano un canone di abbonamento mensile per accedere al ransomware e ai servizi forniti.
• Affiliazione: gli affiliati pagano un canone di abbonamento mensile per accedere al ransomware, ma condividono anche una piccola percentuale del profitto dopo un attacco riuscito.
• Licenza a vita: gli affiliati pagano una commissione una tantum per acquistare il kit di ransomware.
• Partnership: gli operatori non fanno pagare agli affiliati l’utilizzo del ransomware e dei servizi, ma dopo un attacco andato a buon fine incamerano una larga percentuale dei profitti.

Dopo aver determinato il modello di reddito, gli operatori sviluppano diverse varianti di ransomware. Quindi, vendono il ransomware agli affiliati interessati a sferrare attacchi di questo tipo, mentre gli affiliati danno il via a campagne di phishing e ingegneria sociale per diffondere il ransomware. Quando un’organizzazione subisce un attacco d’ingegneria sociale, il ransomware viene installato sul sistema dell’organizzazione e crittografa i dati riservati per poi richiedere un riscatto. Una volta che il riscatto viene pagato, gli affiliati possono restituire i dati all’organizzazione, venderli sul dark web o attaccare nuovamente l’organizzazione.

Gli operatori RaaS possono offrire anche altri servizi agli affiliati, oltre al semplice ransomware. Alcuni offrono supporto software per aiutare gli affiliati a risolvere eventuali problemi tecnici. Oppure, gli operatori possono assistere i propri affiliati a sferrare gli attacchi ransomware. Altri offrono file di dati crittografati di vittime precedenti e vendono la chiave di decrittografia agli affiliati.

Esempi di kit di Ransomware-as-a-Service

Esistono vari tipi di kit di ransomware venduti dalle bande RaaS agli affiliati. Ecco alcuni esempi di kit di ransomware utilizzati per gli attacchi alle organizzazioni.

BlackCat

BlackCat è una delle varietà di ransomware più sofisticate poiché utilizza il linguaggio di programmazione Rust, che consente di ottenere un ransomware ad alte prestazioni e un’ampia memoria di archiviazione. È altamente personalizzabile e facile da rendere unico per ciascun cybercriminale.

Conti

Conti è una variante di ransomware sviluppata dalla nota banda RaaS che porta lo stesso nome. È nota per aver reso popolare il metodo di attacco a doppia estorsione, che ruba e crittografa i dati riservati di un’organizzazione, anziché limitarsi a crittografarli. Il ransomware invia quindi un messaggio alla vittima minacciando di divulgare i dati al pubblico a meno che non paghi il riscatto.

DarkSide

Insieme a Conti, Darkside è uno dei più famigerati operatori RaaS e offre molteplici varianti di ransomware. Questa banda RaaS aveva sviluppato un ransomware chiamato Darkside, responsabile dell’attacco all’oleodotto Colonial Pipeline, che ha sottratto milioni di dollari a una compagnia petrolifera americana.

Dharma

Emerso per la prima volta nel 2016, Dharma è un’evoluzione del ransomware CrySis e si è diffuso in molte varianti diverse. Dharma esegue la scansione alla ricerca di computer che utilizzano Remote Desktop Protocol (RDP) e sfrutta le vulnerabilità di sicurezza dell’RDP per installare il ransomware sui dispositivi.

LockBit

Introdotto nel 2019, LockBit è una delle varianti di ransomware più veloci grazie alla rapidità delle sue funzionalità di crittografia e autoreplicazione, che rendono particolarmente difficile la sua individuazione ed eliminazione da parte delle organizzazioni prima della perdita dei dati.

REvil

REvil è un tipo di ransomware che sfrutta le VPN con software obsoleti e RDP con vulnerabilità di sicurezza. Segue il metodo di attacco Conti e utilizza la doppia estorsione per minacciare le sue vittime e ottenere più denaro.

Ryuk

Ryuk è una variante di ransomware molto nota che prende di mira le organizzazioni governative, il mondo accademico, e i settori manifatturiero, tecnologico e sanitario. Si diffonde attraverso malware trojan, attacchi di phishing ed Exploit Kit. Ryuk disabilita i dati di backup trovati all’interno del dispositivo compromesso, rendendo impossibile il recupero in assenza di backup esterni.

Come prevenire gli attacchi ransomware

Poiché sempre più cybercriminali utilizzano il RaaS per eseguire attacchi ransomware, le organizzazioni rischiano di perdere l’accesso ai propri dati e di esporli sul dark web. Riprendersi da un attacco ransomware è difficile, perciò devi assolutamente evitare che mettano in ginocchio la tua organizzazione. Per mitigare gli attacchi RaaS puoi procedere come indicato di seguito.

Tieni aggiornati i sistemi della tua organizzazione

Molti attacchi ransomware cercano di sfruttare le vulnerabilità di sicurezza presenti all’interno dei software e dei dispositivi della tua organizzazione. Perciò, per evitare che gli attacchi ransomware sfruttino le vulnerabilità di sicurezza, devi mantenere aggiornato il software della tua organizzazione. Gli aggiornamenti software correggono le falle di sicurezza e aggiungono nuove funzionalità di sicurezza che proteggono meglio l’organizzazione. Mantenere il software sempre aggiornato protegge l’organizzazione dalle varianti di ransomware di nuova concezione.

Eseguire regolarmente il backup dei dati

Qualora perdessi l’accesso ai dati, che sia a causa di un attacco ransomware o di altre spiacevoli circostanze, puoi ripristinare i tuoi dati e accedervi grazie al backup. È consigliabile eseguire regolarmente il backup dei dati su dischi rigidi esterni o storage basato sul cloud per potervi accedere sempre e assicurarsi di non perdere nulla.

Implementare l’accesso con privilegi minimi

Per evitare che i cybercriminali riescano ad accedere ai tuoi dati sensibili e a crittografarli, è bene che la tua organizzazione implementi l’accesso con privilegi minimi. Il principio dei privilegi minimi è un concetto di sicurezza informatica in base al quale agli utenti viene fornito l’accesso di rete ai sistemi e ai dati di cui hanno bisogno per svolgere il proprio lavoro, e nulla più. Limita l’accesso alla rete dell’organizzazione fornito agli utenti. Se è implementato l’accesso con privilegi minimi, i cybercriminali dispongono di un minor numero di potenziali percorsi per violare i sistemi e non possono spostarsi lateralmente sulla rete.

Adotta un modello di sicurezza zero-trust

Il modello zero-trust è un framework di sicurezza che implica la potenziale compromissione di qualsiasi utente, che dunque deve essere verificato prima di poter accedere ai sistemi e ai dati. Anziché fornire a tutti l’accesso implicito, richiede a ogni utente di verificare la propria identità per accedere alla rete, ai sistemi, alle applicazioni e ai dati di un’organizzazione. L’adozione del modello zero-trust aiuta a ridurre la superficie di attacco della tua organizzazione. Con superficie di attacco si intendono tutti i possibili punti d’ingresso che un cybercriminale può sfruttare per accedere a un sistema e impadronirsi dei dati.

Istruisci i dipendenti in merito alle migliori prassi di sicurezza informatica

È necessario istruire i dipendenti sulle migliori prassi di sicurezza informatica. I dipendenti devono utilizzare password efficaci e univoche per proteggere i loro account e ostacolare i cybercriminali che tentano l’accesso senza autorizzazione. Inoltre, devono abilitare l’autenticazione a più fattori (MFA) per proteggere meglio i loro account dagli accessi non autorizzati. L’MFA è una misura di sicurezza che richiede un’ulteriore autenticazione oltre all’inserimento di nome utente e password.

I dipendenti devono essere in grado di riconoscere ed evitare gli attacchi di ingegneria sociale, come il phishing. Gli affiliati RaaS utilizzano campagne di ingegneria sociale per installare il ransomware sui sistemi di un’organizzazione. I dipendenti devono evitare eventuali messaggi indesiderati contenenti allegati o link sospetti per non installare il ransomware sui loro dispositivi.

Investi in soluzioni di sicurezza informatica

Per proteggersi dai cybercriminali e semplificare la gestione della sicurezza, la tua organizzazione deve investire in soluzioni di sicurezza informatica. Queste soluzioni comprendono, per esempio, un software antivirus, una soluzione di gestione degli accessi privilegiati (PAM) e un Password Manager aziendale.

• Software antivirus: un programma che monitora, rileva, previene e rimuove i malware noti che infettano il dispositivo. Per proteggere la tua organizzazione dagli attacchi ransomware, devi disporre di un software antivirus efficace e aggiornato.
• Soluzione PAM: una piattaforma che ti aiuta a gestire e proteggere gli account con accesso a dati e informazioni altamente sensibili. Controlla chi può accedere alla rete, alle applicazioni, ai server e ai dispositivi di un’organizzazione. Una soluzione PAM aiuta a prevenire l’uso improprio o la compromissione degli account con privilegi.
• Password Manager aziendale: uno strumento che memorizza e gestisce in modo sicuro le credenziali di accesso dei dipendenti in una cassaforte crittografata. Un Password Manager aziendale assicura agli amministratori IT la piena visibilità e il controllo totale sulle prassi seguite dai dipendenti in materia di password, garantendo la protezione degli account dei dipendenti con password efficaci ed MFA.

Proteggi la tua organizzazione dagli attacchi Ransomware-as-a-Service

Gli attacchi RaaS prendono di mira organizzazioni di tutti i settori al fine di crittografare e rubare le informazioni riservate. Devi proteggere la tua organizzazione dagli attacchi RaaS implementando l’accesso con privilegi minimi e il modello zero-trust. Il modo migliore per implementare questi framework di sicurezza è una soluzione PAM.

KeeperPAM™ è una soluzione di gestione degli accessi con privilegi zero-trust e zero-knowledge che offre alle organizzazioni la visibilità e il controllo completi sugli account con privilegi dell’intera organizzazione. Per proteggere la tua organizzazione dagli attacchi ransomware, KeeperPAM include Keeper® Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) e Keeper Connection Manager® (KCM).

Richiedi una demo di KeeperPAM per prevenire gli attacchi RaaS e proteggere i dati riservati della tua organizzazione.