Una nuova tipologia di business nel mondo del Cybercrime

Il ransomware è in continua evoluzione e si sta trasformando da un modello lineare a uno ben più ostico, detto "Ransomware as a service", dove alcuni attori malevoli hanno l'incarico di sviluppare il malware mentre è compito di soggetti terzi individuare le vittime ed effettuare il deploy del codice.

Il RaaS è un modello di business che ha come base il classico modello SaaS (Software as a Service), in cui il provider di servizi sviluppa e mantiene il software, mettendolo poi a disposizione dei propri clienti, i quali devono pagare un contributo economico per poterne usufruire. In questo caso, il modello utilizzato dagli sviluppatori di ransomware prevede che vengano "affittate" varianti dello stesso codice, al fine di eseguire attacchi mirati alle realtà aziendali scelte come vittima, nello stesso modo in cui uno sviluppatore legittimo affitta un prodotto SaaS.

Questo modus operandi offre ad un ampio pubblico (persino a chi non ha grandi conoscenze tecniche) la possiblità di eseguire attacchi di tipo ransomware, semplicemente registrandosi al servizio e pagando il costo del prodotto.

Cosa è incluso in un kit Raas?

Un kit RaaS proprio come un kit SaaS può includere:

• Istruzioni per l'uso;

• Un ransomware compilato oppure il suo codice sorgente;

• Strumenti di personalizzazione del malware (per effettuare attacchi mirati);

• Strumenti per estrarre i dati prima della crittografia degli stessi;

• Infrastruttura ad hoc per la gestione del ransomware;

• Un pannello di controllo;

• Un supporto operativo 24/7;

• Recensioni del prodotto da parte degli utenti;

• Forum privati per scambio di informazioni;

• Supporto durante la negoziazione per il riscatto.

Funzionamento del modello RaaS

Esistono varie tipologie di sottoscrizione ai servizi RaaS. Le più comuni prevedono: il pagamento di un abbonamento mensile oppure di una tariffa fissa, una tantum, per usufruire del servizio. In alternativa, in alcuni casi è anche possibile partecipare ad un programma di affiliazione, simile ad un canone mensile ma in cui una parte dei profitti va all'operatore Raas.

Proprio come avviene per la maggior parte dei servizi illeciti, i pagamenti avvengono mediante criptovalute, come Bitcoin o Monero.

Gli abbonati hanno diritto ad una serie di servizi, proprio come in un classico servizio Saas, tra cui: accesso al supporto, alle community, alla documentazione e agli aggiornamenti sul prodotto.

Un cliente, per usufruire del servizio, deve semplicemente accedere al portale, registrarsi, pagare il prodotto e comunicare le modifiche che dovranno essere applicate al codice.

Gruppi noti che sfruttano il Raa

• DarkSide

Il gruppo hacker DarkSide è stato notato per la prima volta nell'Agosto del 2020. I loro attacchi principalmente sono indirizzati verso macchine Windows, prediligendo ambienti aziendali che eseguono versioni non aggiornate dell'hypervisor VMware ESXi. Una volta riusciti ad accedere al sistema e a criptarlo, applicano una tecnica di "double extortion" che consiste nel richiedere un pagamento per sbloccare i computer colpiti e per recuperare i dati cryptati.

• REvil

Il ransomware REvil, noto anche come Sodinokibi, è distribuito dal gruppo criminale PINCHY SPIDER, noto per offrire un servizio RaaS secondo il modello di affiliazione in cui viene trattenuto il 40% dei profitti.

Il gruppo è solito avvertire le vittime di un attacco tramite un post sul loro sito contenente una piccola quantità dei dati sottratti come prova dell'attacco compiuto, al fine di incentivare il pagamento del riscatto. Al termine del periodo prestabilito, se il pagamento non viene effettuato, vengono resi pubblici tutti i dati.

• Dharma

Il ransomware Iraniano Dharma, noto anche come CrySiS, è disponibile dal 2016. La sua particolarità risiede nella tecnica d'attacco; il ransomware infatti è noto per installarsi nel computer della vittima insieme ad un software legittimo che usa per mimetizzarsi.

Viene usato principalmente per estorsioni contro utenti domestici o organizzazioni di piccole dimensioni. Si diffonde tramite apposite campagne che imitano e-mail legittime, nelle quali viene richiesto all’utente di aggiornare il proprio antivirus scaricando un allegato protetto da password, contenente un file eseguibile. Una volta aperto il file, verranno inizializzati 2 processi: il primo è un wizard fasullo che ha lo scopo di distrarre l'utente mentre il secondo cripterà il sistema.

• LockBit 2.0

LockBit è un ransomware distribuito con la metodologia RaaS dal gruppo omonimo. È relativamente nuovo ma è diventato molto popolare in breve tempo.

LockBit è un ransomware che opera in modalità Semi-Automated Ransomware (SAR) ed è in grado di rendere inaccessibili i file all'interno del dispositivo colpito.

La sua peculiarità è quella di scansionare automaticamente la rete della vittima per cercare nuovi obbiettivi sensibili da attaccare.

Lo scopo primario del ransomware è quello di impattare il più possibile il business della vittima costringendola ad intavolare una trattativa dove il pagamento del riscatto risulta la via più sicura, pratica e veloce al fine di ripristinare l'operatività.

Una volta terminato l'attacco, l’affiliato è tenuto a fornire delle prove, come uno screenshot di un documento trafugato, e a fornire un tempo limite entro il quale pagare il riscatto.

Una volta scaduto il tempo, se la trattativa non si è conclusa, viene pubblicato sul sito dell'organizzazione un link al sito di hosting MEGA per scaricare i dati della vittima.

Come Prevenire un attacco RaaS

Ripristinare i dati dopo un attacco ransomware è molto difficile e costoso, oltre a richiedere una considerevole quantità di tempo. Per questo motivo è meglio prevenire l'attacco piuttosto che tentare di porre rimedio una volta avvenuto.

Per prevenire un attacco ransomware è consigliabile seguire i seguenti passaggi:

• Formare il personale mediante corsi di Awarness;

• Prestare attenzione agli allegati di posta elettronica, evitando di abilitare le macro. Anche qualora l'allegato sia atteso e il mittente sembri essere noto è bene prevedere una scansione antivirus dello stesso;

• Aggiornare regolarmente il software antivirus con le definizioni utili per il riconoscimento del malware;

• Assicurarsi di applicare patch a software e sistemi operativi;

• Cambiare sempre le credenziali di default prima di utilizzare un prodotto;

• Eseguire backup regolari e frequenti;

• Effettuare backup multipli e archiviarli su dispositivi opportunamente segregati, conservandone almeno una copia off-line;

• Testare regolarmente i processi di backup per assicurarsi che siano funzionali;

• Segmentare la rete per tentare di contrastare il movimento laterale in un possibile attacco;

• Implementare una piattaforma di sicurezza XDR, possibilmente gestita da un SOC 24/7.

• Condurre Vulnerability Assessment e Penetration Test periodici al fine di mitigare eventuali vulnerabilità presenti nei sistemi informatici;

• Ingaggiare un SOC 24/7 per il monitoraggio costante dell'infrastuttura e degli asset presenti in essa;

• Utilizzare piattaforme di Threat Intelligence, possibilmente integrandole con i vari dispositivi di sicurezza presenti (Siem, Firewall, Edr, Xdr, Soar ecc...), al fine di anticipare e bloccare eventuali attacchi.

Fonti e link di approfondimento:

1. https://encyclopedia.kaspersky.com/glossary/ransomware-as-a-service-raas/

2. https://www.telsy.com/it/il-ransomware-as-a-service-raas/

3. https://www.trendmicro.com/en_no/research/21/e/what-we-know-about-darkside-ransomware-and-the-us-pipeline-attac.html

4. https://attack.mitre.org/groups/

5. https://adversary.crowdstrike.com/en-US/adversary/pinchy-spider/