Il ransomware non è certo una minaccia nuova di zecca su Internet. Le sue radici risalgono a molti anni fa. Questa minaccia è diventata solo più pericolosa e spietata nel tempo.
La parola "ransomware" ha ottenuto un ampio riconoscimento a causa del bombardamento di attacchi informatici che negli ultimi anni hanno reso inutilizzabili molte aziende.
Tutti i file sul tuo PC sono stati scaricati e crittografati, quindi lo schermo diventa nero e viene visualizzato un messaggio in un inglese incerto.
YDevi pagare un riscatto ai criminali informatici black hat in Bitcoin o altre criptovalute non rintracciabili per ottenere una chiave di decrittazione o impedire che i tuoi dati sensibili vengano rilasciati sul dark web.
Ma meno potrebbero essere a conoscenza del ransomware-as-a-Service, un modello di business mal organizzato in grado di eseguire questi tipi di attacchi (o RaaS).
Invece di condurre attacchi da soli, i creatori di ransomware affittano i loro costosi virus a criminali informatici meno esperti che sono pronti a correre il rischio associato alla conduzione di operazioni di ransomware.
Come funziona tutto però? Chi guida la gerarchia e chi funge da intermediario? E forse ancora più cruciale, come puoi difendere la tua attività e te stesso da questi attacchi paralizzanti?
Continua a leggere per saperne di più su RaaS.
Che cos'è Ransomware as a Service (RaaS)?
Ransomware-as-a-service (RaaS) è un modello di business aziendale criminale che consente a chiunque di unirsi e utilizzare strumenti per lanciare attacchi ransomware.
Gli utenti RaaS, come coloro che utilizzano altri modelli as-a-service come software-as-a-service (SaaS) o Platform-as-a-service (PaaS), noleggiano anziché possedere servizi ransomware.
È un vettore di attacco software-as-a-service a basso codice che consente ai criminali di acquistare software ransomware sul dark web ed eseguire attacchi ransomware senza sapere come codificare.
Gli schemi di phishing via e-mail sono un vettore di attacco comune per le vulnerabilità RaaS.
Quando una vittima fa clic su un collegamento dannoso nell'e-mail dell'attaccante, il ransomware viene scaricato e si diffonde sul computer interessato, disabilitando i firewall e il software antivirus.
Il software RaaS può cercare modi per elevare i privilegi una volta che le difese perimetrali della vittima sono state violate e, infine, tenere in ostaggio l'intera organizzazione crittografando i file al punto da renderli irraggiungibili.
Una volta che la vittima è stata informata dell'attacco, il programma fornirà loro istruzioni su come pagare il riscatto e (idealmente) ottenere la chiave crittografica corretta per la decrittazione.
Sebbene le vulnerabilità RaaS e ransomware siano illegali, i criminali che effettuano questo tipo di aggressione possono essere particolarmente difficili da arrestare perché utilizzano i browser Tor (noti anche come onion router) per accedere alle loro vittime e richiedono pagamenti di riscatto in bitcoin.
L'FBI afferma che sempre più creatori di malware stanno diffondendo i loro dannosi programmi LCNC (low code/no code) in cambio di una riduzione dei proventi dell'estorsione.
Come funziona il modello RaaS?
Sviluppatori e Affiliati collaborano per effettuare un attacco RaaS efficace. Gli sviluppatori hanno il compito di scrivere malware ransomware specializzato, che viene poi venduto a un affiliato.
Il codice del ransomware e le istruzioni per lanciare l'assalto sono forniti dagli sviluppatori. RaaS è semplice da usare e richiede poche conoscenze tecnologiche.
Chiunque abbia accesso al dark web può entrare nel portale, aderire come affiliato e lanciare assalti con un solo clic. Gli affiliati scelgono il tipo di virus che vogliono distribuire ed effettuano un pagamento utilizzando una criptovaluta, solitamente Bitcoin, per iniziare.
Lo sviluppatore e l'affiliato si dividono i guadagni quando viene pagato il riscatto e l'attacco ha successo. Il tipo di modello di entrate determina come vengono allocati i fondi.
Esaminiamo alcune di queste strategie commerciali illegali.
Affiliato RaaS
A causa di una varietà di fattori, tra cui la consapevolezza del marchio del gruppo ransomware, le percentuali di successo delle campagne e il calibro e la varietà dei servizi offerti, i programmi di affiliazione clandestini sono diventati una delle forme più note di RaaS.
Le organizzazioni criminali cercano spesso hacker che possano entrare nelle reti aziendali da soli per mantenere il loro codice ransomware all'interno della banda. Quindi utilizzano il virus e l'assistenza per lanciare l'assalto.
Tuttavia, un hacker potrebbe non averne nemmeno bisogno, dato il recente aumento dell'accesso per la vendita alla rete aziendale sul dark web per soddisfare questi criteri.
Gli hacker meno esperti e ben supportati lanciano assalti ad alto rischio in cambio di una quota di profitto anziché pagare un canone mensile o annuale per utilizzare il codice ransomware (ma occasionalmente gli affiliati potrebbero dover pagare per giocare).
La maggior parte delle volte, le bande di ransomware cercano hacker abbastanza abili da entrare in una rete aziendale e abbastanza coraggiosi da portare a termine lo sciopero.
In questo sistema, l'affiliato riceve spesso tra il 60% e il 70% del riscatto, mentre il restante 30% al 40% viene inviato all'operatore RaaS.
RaaS in abbonamento
In questa tattica, i truffatori pagano regolarmente una quota associativa per avere accesso a ransomware, supporto tecnico e aggiornamenti dei virus. Molti modelli di servizi in abbonamento basati sul Web, come Netflix, Spotify o Microsoft Office 365, sono paragonabili a questo.
Normalmente, i trasgressori di ransomware trattengono il 100% delle entrate derivanti dai pagamenti del riscatto per se stessi se pagano il servizio in anticipo, che potrebbe costare da $ 50 a centinaia di dollari ogni mese, a seconda del fornitore RaaS.
Queste quote associative rappresentano un investimento modesto rispetto al consueto pagamento del riscatto di circa $ 220,000. Naturalmente, i programmi di affiliazione possono anche incorporare un elemento pay-to-play basato su abbonamento nei loro piani.
Permesso a vita
Un produttore di malware può decidere di offrire pacchetti per un pagamento una tantum ed evitare di correre il rischio di essere direttamente coinvolto in attacchi informatici invece di guadagnare denaro ricorrente tramite abbonamenti e partecipazioni agli utili.
I criminali informatici in questo caso pagano una tassa una tantum per ottenere l'accesso per tutta la vita a un kit ransomware, che possono utilizzare in qualsiasi modo ritengano opportuno.
Alcuni criminali informatici di livello inferiore potrebbero scegliere un acquisto una tantum anche se è significativamente più costoso (decine di migliaia di dollari per kit sofisticati) poiché sarebbe più difficile per loro connettersi all'operatore RaaS in caso di arresto dell'operatore.
Partnership RaaS
Gli attacchi informatici che utilizzano ransomware richiedono che ogni hacker coinvolto abbia un insieme unico di abilità.
In questo scenario, un gruppo si riunirebbe e fornirebbe vari contributi all'operazione. Per iniziare sono necessari uno sviluppatore di codici ransomware, hacker di rete aziendale e un negoziatore di riscatti di lingua inglese.
A seconda del loro ruolo e significato nella campagna, ogni partecipante, o partner, accetterebbe di dividere i guadagni.
Come rilevare un attacco RaaS?
In genere, non esiste una protezione contro le aggressioni da ransomware efficace al 100%. Tuttavia, le e-mail di phishing rimangono il metodo principale utilizzato per effettuare attacchi ransomware.
Pertanto, un'azienda deve fornire una formazione sulla consapevolezza del phishing per garantire che i membri del personale abbiano la migliore comprensione possibile su come individuare le e-mail di phishing.
A livello tecnico, le aziende potrebbero avere un team specializzato nella sicurezza informatica incaricato di eseguire la caccia alle minacce. La caccia alle minacce è un metodo di grande successo per rilevare e prevenire attacchi di ransomware.
In questo processo viene creata una teoria utilizzando le informazioni sui vettori di assalto. L'intuizione e i dati aiutano nella creazione di un programma che potrebbe identificare rapidamente la causa dell'assalto e fermarlo.
Per tenere d'occhio esecuzioni di file impreviste, comportamenti sospetti e così via sulla rete, vengono utilizzati strumenti di caccia alle minacce. Per identificare i tentativi di attacco ransomware, utilizzano il watch for Indicators of Compromise (IOC).
Inoltre, vengono utilizzati molti modelli di caccia alle minacce situazionali, ognuno dei quali è personalizzato per il settore dell'organizzazione target.
Esempi di RaaS
Gli autori di ransomware si sono appena resi conto di quanto sia redditizio costruire un'attività RaaS. Inoltre, ci sono state diverse organizzazioni di attori delle minacce che hanno stabilito operazioni RaaS per propagare il ransomware in quasi tutte le aziende. Queste sono alcune delle organizzazioni RaaS:
- Lato oscuro: È uno dei provider RaaS più famosi. Secondo i rapporti, questa banda era dietro l'attacco al Colonial Pipeline nel maggio 2021. Si ritiene che DarkSide sia iniziato nell'agosto del 2020 e abbia raggiunto il picco di attività durante i primi mesi del 2021.
- Dharma: Dharma Ransomware è emerso originariamente nel 2016 con il nome CrySis. Sebbene ci siano state diverse variazioni di Dharma Ransomware nel corso degli anni, Dharma è apparso per la prima volta in un formato RaaS nel 2020.
- Maze: come con molti altri provider RaaS, Maze ha debuttato nel 2019. Oltre a crittografare i dati degli utenti, l'organizzazione RaaS ha minacciato di rilasciare i dati pubblicamente nel tentativo di umiliare le vittime. Il Maze RaaS è stato ufficialmente chiuso a novembre 2020, anche se le ragioni di ciò sono ancora alquanto confuse. Alcuni accademici, tuttavia, ritengono che gli stessi delinquenti siano persistiti sotto vari nomi, come Egregor.
- DoppelPaymer: è stato collegato a una serie di eventi, incluso uno nel 2020 contro un ospedale in Germania che ha causato la morte di un paziente.
- Ryuk: Sebbene il RaaS fosse più attivo nel 2019, si ritiene che sia esistito almeno nel 2017. Molte società di sicurezza, tra cui CrowdStrike e FireEye, hanno negato le affermazioni di alcuni ricercatori secondo cui l'organizzazione si trova in Corea del Nord.
- Lockbit: Come estensione di file, l'organizzazione utilizza per crittografare i file delle vittime, ".abcd virus", emerso per la prima volta a settembre 2019. La capacità di LockBit di diffondersi autonomamente su una rete di destinazione è una delle sue caratteristiche. Per gli aspiranti attaccanti, questo lo rende un RaaS desiderabile.
- Revil: Sebbene esistano diversi fornitori di RaaS, è stato il più comune nel 2021. L'assalto a Kaseya, avvenuto nel luglio 2021 e che ha avuto un impatto su almeno 1,500 aziende, è stato collegato a REvil RaaS. Si pensa che l'organizzazione sia anche responsabile dell'attacco del giugno 2021 al produttore di carne JBS USA, per il quale la vittima ha dovuto pagare un riscatto di 11 milioni di dollari. È stato anche ritenuto responsabile di un attacco ransomware al fornitore di assicurazioni informatiche CNA Financial nel marzo 2021.
Come prevenire gli attacchi RaaS?
Gli hacker RaaS utilizzano più frequentemente e-mail di spear-phishing sofisticate create da esperti per sembrare autentiche per distribuire malware. Per proteggere dagli exploit RaaS è necessario un solido approccio alla gestione del rischio che supporti la formazione continua sulla consapevolezza della sicurezza per gli utenti finali.
La prima e migliore protezione consiste nel creare una cultura aziendale che informi gli utenti finali sulle tecniche di phishing più recenti e sui rischi che gli attacchi ransomware rappresentano per le loro finanze e la loro reputazione. Tra le iniziative in tal senso:
- Aggiornamenti del software: i sistemi operativi e le app sono spesso sfruttati dal ransomware. Per aiutare a fermare gli attacchi ransomware, è importante aggiornare il software quando vengono rilasciati patch e aggiornamenti.
- Fai attenzione al backup e al ripristino dei tuoi dati: La definizione di una strategia di backup e ripristino dei dati è il primo e, probabilmente, il più importante passo. I dati diventano inutilizzabili per gli utenti dopo la crittografia da parte di un ransomware. L'impatto della crittografia dei dati da parte di un utente malintenzionato può essere ridotto se un'azienda dispone di backup correnti che possono essere utilizzati in una procedura di ripristino.
- Prevenzione del phishing: Il phishing tramite e-mail è un tipico metodo di attacco per il ransomware. Gli attacchi RaaS possono essere prevenuti se è presente una sorta di protezione e-mail anti-phishing.
- Autenticazione a più fattori: alcuni attaccanti ransomware utilizzano il credential stuffing, che implica l'utilizzo di password rubate da un sito all'altro. Poiché per ottenere l'accesso è ancora necessario un secondo fattore, l'autenticazione a più fattori riduce l'impatto di una singola password che viene utilizzata in modo eccessivo.
- Sicurezza per gli endpoint XDR: le tecnologie di sicurezza degli endpoint e di ricerca delle minacce, come XDR, offrono un ulteriore livello cruciale di difesa contro il ransomware. Ciò offre funzionalità avanzate di rilevamento e risposta che aiutano a ridurre il pericolo di ransomware.
- Restrizione DNS: Il ransomware utilizza spesso una sorta di server di comando e controllo (C2) per interfacciarsi con la piattaforma di un operatore RaaS. Una query DNS è quasi sempre coinvolta nelle comunicazioni da una macchina infetta al server C2. Le organizzazioni possono riconoscere quando il ransomware sta tentando di interagire con RaaS C2 e impedire le comunicazioni con l'aiuto di una soluzione di sicurezza con filtro DNS. Questo può agire come un tipo di prevenzione delle infezioni.
Futuro di RaaS
Gli attacchi RaaS diventeranno più diffusi e apprezzati dagli hacker in futuro. Oltre il 60% di tutti gli attacchi informatici negli ultimi 18 mesi, secondo un recente rapporto, erano basati su RaaS.
RaaS sta diventando sempre più popolare grazie alla semplicità di utilizzo e al fatto che non sono necessarie conoscenze tecniche. Inoltre, dovremmo prepararci a un aumento degli assalti RaaS che prendono di mira le infrastrutture vitali.
Ciò copre i settori della sanità, dell'amministrazione, dei trasporti e dell'energia. Gli hacker vedono queste industrie e istituzioni cruciali come più esposte che mai, mettendo entità come ospedali e centrali elettriche nel mirino degli attacchi RaaS come supply chain i problemi continuano fino al 2022.
Conclusione
In conclusione, anche se Ransomware-as-a-Service (RaaS) è una creazione e uno dei pericoli più recenti per depredare gli utenti digitali, è fondamentale adottare alcune misure preventive per combattere questa minaccia.
Oltre ad altre precauzioni di sicurezza fondamentali, puoi anche fare affidamento su strumenti antimalware all'avanguardia per proteggerti ulteriormente da questa minaccia. Purtroppo, RaaS sembra essere qui per rimanere per il momento.
Avrai bisogno di una tecnologia completa e di un piano di sicurezza informatica per proteggerti dagli attacchi RaaS per ridurre la probabilità di un attacco RaaS riuscito.
Lascia un Commento