Ransomware-as-a-Service: nascita e sviluppo di un mercato criminale

Nel 2024, il 34% degli incidenti gravi di cybercrime ha coinvolto attacchi ransomware. Il ransomware è un tipo di malware che blocca l’accesso a sistemi e dati finché non viene pagato un riscatto, trasformandosi in una minaccia sempre più diffusa e sofisticata.
Il primo caso documentato risale al 1989, con il cosiddetto AIDS Trojan (noto anche come PC Cyborg). Circa 20.000 floppy disk infetti vennero inviati per posta ai partecipanti di una conferenza sull’AIDS. Questo ransomware cifrava i nomi dei file presenti sull’unità C:\ del computer tramite un algoritmo di crittografia simmetrica personalizzato, chiedendo poi un riscatto per sbloccarli.
La diffusione delle criptovalute, a partire dal 2009 con Bitcoin, ha accelerato l’evoluzione del ransomware. Le criptovalute forniscono ai criminali un sistema di pagamento pseudo-anonimo, decentralizzato e difficilmente tracciabile dalle autorità. Questa peculiarità ha favorito la nascita di numerose nuove varianti di ransomware—oltre 60.000 solo nel 2011—e ha aperto la strada a un nuovo modello di business: il Ransomware-as-a-Service (RaaS), nato nel 2015.

> Leggi anche: “5 nuove minacce alla sicurezza informatica nel 2024”

Le Principali Tipologie di Ransomware

I ransomware si presentano in numerose varianti, spesso raggruppate in famiglie con caratteristiche comuni. Ecco un approfondimento sulle principali tipologie:

  • Crypto-ransomware: Questa è la categoria più comune di ransomware. I crypto-ransomware crittografano i file delle vittime, cancellano o sovrascrivono i file originali e richiedono un pagamento per la decrittografia. Il crypto-ransomware si è affermato come il tipo di ransomware predominante e rappresenta il 90% degli attacchi nel 2019. Questo tipo di ransomware deve attaccare il file system per poter tenere in ostaggio i file e i dati degli utenti. Le analisi hanno rivelato che i crypto-ransomware svolgono attività di crittografia, manipolazione del file system e comunicazione di rete molto più frequentemente rispetto alle applicazioni legittime.
  • Locker-ransomware: A differenza del crypto-ransomware, il locker-ransomware blocca l’accesso al sistema dell’utente senza crittografare i dati. Solitamente, impedisce l’uso del dispositivo mostrando una schermata bloccata o bloccando il browser, e richiede un riscatto per ripristinare l’accesso. Gli attacchi di questo tipo sono i più semplici da risolvere: spesso è sufficiente riavviare il computer in modalità provvisoria o utilizzare uno scanner antivirus per identificarli e rimuoverli.
  • Leakware (Doxware): Questa è una nuova e potente forma di ransomware che minaccia di rendere pubblici i dati degli utenti a meno che non venga pagato il riscatto. Il danno che può causare è potenzialmente devastante, poiché una volta divulgati, i dati diventano accessibili a chiunque. Banche, ospedali e altre organizzazioni che gestiscono informazioni sensibili sono particolarmente esposte a questo tipo di attacco, che sfrutta la vulnerabilità delle aziende alla perdita di dati riservati.

> Scopri il corso di Malware Analysis

I metodi di attacco più comuni usati dai ransomware

I ransomware sfruttano vari metodi per compromettere i sistemi: il phishing rimane il vettore di attacco predominante, utilizzato nel 93% dei casi. I criminali informatici inviano e-mail di phishing ingannevoli, progettate per convincere gli utenti a visitare siti web pericolosi o ad aprire allegati infetti. Queste e-mail imitano spesso organizzazioni affidabili come banche, enti governativi, università, o persino contatti personali come amici e colleghi, per aumentare la loro credibilità e indurre gli utenti a fidarsi.
Oltre al phishing, esistono altri vettori di attacco comuni:

  • Exploit kit: sfruttano le vulnerabilità dei sistemi per installare ransomware automaticamente sui dispositivi degli utenti. Gli aggressori spesso reindirizzano le vittime a questi kit tramite pubblicità malevole o link dannosi, colpendo dispositivi non aggiornati.
  • Siti web dannosi: il ransomware può essere nascosto in siti web apparentemente legittimi o compromessi, nascosti negli script web di questi siti. Gli utenti, ignari del pericolo, visitano il sito e il ransomware viene scaricato automaticamente sul loro computer.
  • Pop-up: questi annunci appaiono come notifiche autentiche e cercano di indurre gli utenti a cliccare. Una volta cliccato, il ransomware può essere scaricato automaticamente o la vittima viene reindirizzata a una pagina con link dannosi.
  • Vulnerabilità software: i criminali informatici possono sfruttare falle di sicurezza nei sistemi operativi, nei browser o in altri software per installare ransomware. La mancanza di patch o aggiornamenti di sicurezza lascia una porta aperta agli attacchi.
  • Applicazioni dannose: il ransomware può essere mascherato da app legittime, distribuite tramite app store non ufficiali o siti web di terze parti. Scaricare app da fonti non verificate aumenta significativamente il rischio di infezione.

> Leggi anche: “Hacktivism in Italia: quali sono le tecniche di attacco”

Che cos’è e come funziona il Ransomware as a Service (RaaS)

Il Ransomware-as-a-Service (RaaS) è un modello di business criminale che ha democratizzato l’accesso al ransomware e che ha reso possibile anche agli individui con competenze tecniche limitate di eseguire attacchi sofisticati. Questo modello si basa sulla fornitura di kit ransomware preconfigurati, facili da usare e pronti all’uso, disponibili per l’acquisto nei mercati del dark web.

Il RaaS opera in modo simile ad altri modelli di “as-a-Service”, con fornitori che offrono vari pacchetti e livelli di supporto ai propri “clienti”, i criminali informatici. I kit RaaS tipicamente includono:

  • Ransomware precompilato
  • Strumenti di personalizzazione del ransomware
  • L’infrastruttura per la gestione del ransomware.

Questo modello “as a service” consente agli aggressori di massimizzare i profitti, riducendo i costi operativi e i rischi di cattura. D’altra parte, gli sviluppatori del RaaS guadagnano una percentuale del riscatto una volta che l’attacco va a segno e la vittima paga.
Sul dark web, oltre ai kit RaaS, si trovano istruzioni dettagliate su come condurre campagne ransomware, configurare infrastrutture di comando e controllo, riscuotere i riscatti e sfruttare le vulnerabilità nei sistemi. Viene spiegato anche come posizionare il malware per garantire un impatto debilitante.

Esempi e varianti di Ransomware-as-a-Service

Il panorama del Ransomware-as-a-Service (RaaS) è in continua evoluzione, con numerose varianti che hanno segnato la storia di questa minaccia. Ecco alcune delle più rilevanti.

  • Tox: uno dei più vecchi fornitori di RaaS, scoperto nel 2015, che ha aiutato a lanciare attacchi ransomware. Tox era gratis (tratteneva il 20% del riscatto), usava bitcoin come metodo di pagamento, era facile da usare e bastava la registrarsi sul sito.
  • Cerber: Questa famiglia di ransomware è stata identificata per la prima volta nel 2016 e attaccava principalmente tramite e-mail di phishing. Cerber operava su base di affiliazione e consentiva agli utenti malintenzionati di registrarsi e distribuire il ransomware in cambio del 40% del riscatto ottenuto.
  • Maze: il concetto di doppia estorsione è stato introdotto per la prima volta da questa specifica variante di ransomware, in cui i criminali informatici rubano dati sensibili ed esigono un pagamento in cambio del non rilascio pubblico. Sebbene Maze abbia cessato le operazioni, il suo modello è stato adottato da altre varianti come Egregor, che continuano a prosperare.
  • LokiLocker è stato rilevato per la prima volta in natura nell’agosto 2021 e veniva inizialmente distribuito attraverso strumenti specializzati di attacco brute-force, che prendevano di mira account di consumatori su servizi come Spotify e PayPal.
  • Satan è una piattaforma RaaS che fornisce ai potenziali criminali l’accesso a ransomware di ‘qualità’. La distribuzione di questo ransomware varia in base alla strategia dell’attaccante, che può utilizzare allegati di spear phishing o sfruttare download automatici tramite campagne e-mail.
  • LockBit, Hive e Dharma sono tra le varianti di RaaS più recenti e attive e continuano a rappresentare una minaccia significativa per organizzazioni di ogni settore.

La crescente disponibilità di strumenti RaaS sta portando a un aumento del numero e della varietà degli attacchi, colpendo non solo grandi organizzazioni ma anche piccole e medie imprese e individui. Questo incremento potrebbe portare a un ulteriore innalzamento dei costi legati alla sicurezza informatica, rendendo indispensabile per le aziende l’adozione di strategie di difesa più avanzate, come la formazione continua del personale, la segmentazione delle reti e l’implementazione di soluzioni di backup e ripristino. Allo stesso tempo, il RaaS potrebbe spingere verso una maggiore collaborazione internazionale tra governi, aziende di sicurezza informatica e organizzazioni per contrastare in modo efficace la diffusione di queste minacce. Tra le iniziative e i progetti che cercano di controllare e mitigare l’impatto degli attacchi troviamo il progetto No More Ransom (link esterno), guidato da Europol e da varie entità di sicurezza informatica, che contribuiscono agli sforzi globali nella prevenzione del ransomware. NMR offre una piattaforma per la collaborazione tra forze dell’ordine, aziende di sicurezza informatica e vittime di ransomware, fornendo strumenti e risorse per la prevenzione, la decrittografia e il ripristino dei dati.

Fonti:

McIntosh, T., Kayes, A. S. M., Chen, Y. P. P., Ng, A., & Watters, P. (2021). Ransomware mitigation in the modern era: A comprehensive review, research challenges, and future directions. ACM Computing Surveys (CSUR)54(9), 1-36.

Meland, P. H., Bayoumy, Y. F. F., & Sindre, G. (2020). The Ransomware-as-a-Service economy within the darknet. Computers & Security92, 101762.

Nagar, G. (2024). The Evolution of Ransomware: Tactics, Techniques, and Mitigation Strategies. Valley International Journal Digital Library, 1282-1298.

Oz, H., Aris, A., Levi, A., & Uluagac, A. S. (2022). A survey on ransomware: Evolution, taxonomy, and defense solutions. ACM Computing Surveys (CSUR)54(11s), 1-37.

Rapporto clusit 2024. Clusit. (2024). https://clusit.it/rapporto-clusit/

Razaulla, S., Fachkha, C., Markarian, C., Gawanmeh, A., Mansoor, W., Fung, B. C., & Assi, C. (2023). The age of ransomware: A survey on the evolution, taxonomy, and research directions. IEEE Access11, 40698-40723.

Temara, S. (2024). The Ransomware Epidemic: Recent Cybersecurity Incidents Demystified. Asian Journal of Advanced Research and Reports18(3), 1-16.