Gli attacchi ransomware sono la cyber minaccia che ha avuto l’evoluzione più forte negli ultimi 5 anni, tale da essere diventata la cyber minaccia più diffusa al mondo.Negli anni il classico modello di malware ha subito continue evoluzioni ed è stato largamente sfruttato dalle organizzazioni di criminali informatici di tutto il mondo.
Oggi il modello di business messo in piedi dai cyber criminali sta passando da un modello di attacco lineare a uno più insidioso: il Ransomware as a Service – RaaS.Con questo nuovo modello, gli hacker si concentrano sempre più sullo sviluppo dei software malevoli, lasciando ad altri la scelta della vittima e la diffusione d’attacco.
Per capire come si è arrivati ad una forma as a service è bene capire cos’è un attacco ransomware e come si diffonde.
Attacchi ransomware: cosa sono e come si diffonde
I Ransomware sono ransom virus, ovvero virus informatici della classe di malware usati per estorcere denaro. Sono attacchi informatici che rendono inaccessibili i dati dei computer infettati, e che, per essere ripristinati, richiedono il pagamento di un riscatto.
Tecnicamente sono Trojan horse crittografici ed hanno come unico scopo l’estorsione di denaro, attraverso un “sequestro di file”, ovvero attraverso la crittografia che rende il PC inutilizzabile.
Per questo si distingue dagli altri virus informatici per una specifica funzionalità: rendono inutilizzabili interi sistemi informatici, rendondo inaccessibili i dati contenuti tramite metodi di crittografia complessi. Inoltre, il ransomware provoca il blocco di ogni funzionalità del dispositivo e impedisce l’accesso ai dati di qualsiasi entità: cartelle, file, immagini, interi database.
Il vettore di attacco è la modalità con cui i criminali informatici diffondono il virus, solitamente sono:
- Email di Phishing, che sfrutta tecniche e metodi sempre più sofisticati di social engineering
- Attraverso la navigazione su siti compromessi, il cosiddetto drive-by download. Si presentano, per esempio, come banner pubblicitari o pulsanti che ci invitano a cliccare. A quel punto verremo indirizzati su siti malevoli, diversi dall’originale, ove avverrà il download del malware.
- Usando un supporto rimovibile, per esempio una chiavetta USB contenente il software malevolo. Questa tecnica si chiama baiting fa leva sul fattore umano e sulla curiosità delle persone.
- Attacchi attraverso il desktop remoto, in genere con attacchi di tipo brute force.
- Attraverso lo sfruttamento di vulnerabilità di sistema o apparati IoT.
Oggi però con il diffondersi del nuovo modello di ransomware as a service, gli hacker si concentrano sullo sviluppo del software malevolo, lasciando ad altri la scelta della vittima ed il vettore per diffondere l’attacco ransomware.
Il modello RaaS: cos’è il ransomware as a service e come funziona
Gli hacker più sofisticati, quindi, non sfruttano più il guadagno derivante dal riscatto post attacco, ma facendo business vendendo come tool sul dark web. É proprio in questa nuova prospettiva di guadagno criminale che nasce il modello RaaS.
Il Ransomware as a service o RaaS, infatti, è definibile come una “strategia imprenditoriale” che include un nuovo soggetto nel processo classico dell’attacco informatico. In questa ottica, si configurano due tipologie di criminali informatici.
Da una parte, ci sono classiche organizzazioni di sviluppatori di malware con le competenze tecniche per scrivere il codice di un ransomware. Dall’altra una platea di nuovi soggetti, senza competenze tecniche necessarie percreare un malware, che si affilieranno all’organizzazione criminale e si occuperanno di individuare gli obbiettivi e gli strumenti per la distribuzione del ransomware. Questo scambio di servizio criminale avviene sul Dark Web.
Nella pratica, gli hacker che si occupano dello sviluppo hanno creato delle piattaforme cloud che consentono tramite registrazione ai cyber criminali di lanciare gli attacchi ransomware. Queste piattaforme o portali sono il core del ransomware as a service.
Generalmente le interfacce e la prassi dei portali RaaS è semplice, il criminale si registra, sceglie la tipologia di malware che desidera acquistare ed infine paga con Bitcoin. Ad agevolare l’attività criminale, all’interno del portale troverà vettori d’attacco pronti all’uso, tutorial e procedure guidate per la personalizzare l’attacco.
In altri casi, il portale mette a disposizione dei veri e propri kit RaaS realizzati per specifici obiettivi. Sono dei kit dedicati ad aziende specifiche, pronti a sfruttare vulnerabilità rilevate nei giorni precedenti e quindi molto probabilmente non ancora risolte dai team IT in azienda. In questo caso il guadagno per la cyber gang di sviluppo è maggiore.
Ecco perché il modello RaaS è diventato in pochissimo tempo il metodo preferito dal cyber crime, affermandosi come cyber trend del nuovo anno. Con questo modello gli autori del ransomware si espongono in modo limitato, tutto viene pubblicizzato nel Dark Web o in siti ad accesso circoscritto, ed il guadagno è assicurato anche se l’attacco ransomware dovesse essere bloccato dai sistemi di prevenzione e sicurezza.
Come fronteggiare il rischio d’attacco ransomware?
Questo tipo di decisione è quella che si trova ad affrontare l’IT manager quotidianamente, decidere il modo migliore per stare al passo con organizzazioni criminali in continua evoluzione.
Le azioni di base e minime di sicurezza sono:
- Formazione del personale nell’uso consapevole degli strumenti informatici; prudenza nell’apertura di email e allegati, nella navigazione internet, e nella gestione delle credenziali.
- Mantenere aggiornati tutti i sistemi, dagli apparati di rete ai server, PC e dispositivi connessi alla propria rete dati.
- Utilizzare soluzioni antivirus e anti malware affidabili.
- Predisporre un sistema di backup efficiente.
Ma per prevenire attacchi sempre più sofisticati diventa fondamentale effettuare delle analisi informatiche specifiche e predittivecon l’uso di strumenti di cyber threat intelligence.
