Il RaaS spiegato nel dettaglio

Il ransomware non è nuovo ma la grande differenza oggi è che questi attacchi possono mettere a rischio intere aziende, non solo i dati di un singolo PC come 10 anni fa. Quindi, il passaggio al ransomware a livello aziendale ha cambiato l'obiettivo dell'attaccante che è diventato di interrompere le operation e mettere in ginocchio l’azienda.


Inoltre, il successo del più moderno modello di business intorno ai ransomware, il RaaS rende questo strumento il più desiderato dal cyber crime. Infatti, la stragrande maggioranza dei criminali informatici non dispone di tutte le capacità tecniche necessarie per fare da soli e quindi creare malware, penetrare le aziende, estorcere denaro, ecc. Quindi nasce il RaaS, Ransowmare as a Service, dove diversi anelli di criminali informatici collaborano in modo “organizzato”, per un unico scopo: estorcere tanto più denaro possibile ad una ipotetica organizzazione.

La criminalità informatica è esplosa negli ultimi anni perché i criminali si sono “specializzati” in modo che ognuno potesse concentrarsi su un determinato obiettivo, su una singola fase del processo di violazione ed estorsione e tutto questo funziona bene rendendo gli attacchi ransomware i più pericolosi.


La piramide del RaaS prevede almeno 4 anelli che collaborano come una filiera:

  • Gli sviluppatori / operatori

  • Gli affiliati

  • I broker di accesso (IAB - Initial Access Broker)


SVILUPPATORI / OPERATORI - Al primo livello troviamo gli “Sviluppatori”: esperti nella scrittura dei malware, di crittografia, che li realizzano, li aggiornano continuamente, creano strumenti per poter fornire sviluppate dashboard e sistemi di comando e controllo (C&C) agli “affiliati”, capaci di gestire tutta la fase di infezione, che come vedremo è la fase ultima “attiva” di un attacco ransomware, prima di passare all’estorsione.


AFFILIATI - Al secondo livello abbiamo gli “Affiliati”: altri criminali informatici che affittano il ransomware dagli sviluppatori e conducono la reale attività di attacco e di estorsione, accedendo alle reti della vittima (sempre più spesso acquistano gli accessi ad una rete aziendale dagli IAB - Initial Access Broker) e rimangono al suo interno per molto tempo, esfiltrando quanti più dati sensibili.


BROKER DI ACCESSO (IAB - INITIAL ACCESS BROKER) - Sono dei gruppi di criminali informatici che violano le reti delle azienda per acquisirne persistenza. Sono molto esperti di tecniche di penetration test e, una volta acquisito l’accesso alla rete di una azienda, la mettono in vendita nei forum underground per poche migliaia di dollari. Gli affiliati, spesso sono clienti dei broker di accesso, in quanto consentono di velocizzare il loro flusso di lavoro, mettendo loro a disposizione accessi illeciti già verificati e disponibili e a basso costo.




Un affiliato acquista gli accessi ad una o più aziende (passo 1), quindi affitta il ransomware dagli sviluppatori/operatori (passo 2), infine sferra gli attacchi alle aziende vittime (passo 3).

Le aziende vittima vengono identificate attraverso motori di ricerca quali Shodan, Zoomeye, Censys, IVRE che permettono di individuare con facilità le risorse esposte su internet di una organizzazione e le relative vulnerabilità esposte. I RaaS non ha come obiettivo una specifica azienda, ma colpisce quelle aziende che rendono costo-efficente un attacco, quindi è un trade-opp tra sforzo necessario per l'attacco e potenziale entità del riscatto. Naturalmente le aziende a basse difese, o difese più obsolete, sono quelle più facilmente attaccate per le sue vulnerabilità dovute ad una errata cyber-posture.


I kit RaaS consentono agli affiliati che non hanno le capacità o il tempo per sviluppare la propria variante di ransomware di essere operativi in modo rapido e conveniente. Sono facili da trovare sul web oscuro, dove sono pubblicizzati nello stesso modo in cui le merci sono pubblicizzate sul web legittimo.

Un kit RaaS può includere supporto 24 ore su 24, 7 giorni su 7, offerte in bundle, recensioni degli utenti, forum e altre funzionalità identiche a quelle offerte dai fornitori SaaS legittimi.

Esistono quattro modelli di entrate RaaS comuni:


1. Abbonamento mensile a tariffa fissa

2. Programmi di affiliazione, che sono gli stessi di un modello a canone mensile ma con una percentuale dei profitti (in genere 20-30%) che va allo sviluppatore di ransomware

3. Canone di licenza una tantum senza partecipazione agli utili

4. Pura partecipazione agli utili




Cosa fa un IAB - Initial Access Broker:

I broker di accesso iniziale (IAB) fanno il lavoro tecnico sporco fornendo agli operatori di ransomware un gran numero di vittime da compromettere. Simbolo della professionalizzazione della criminalità informatica, Initial Access Brokers funge da intermediario trovando organizzazioni vulnerabili e vendendo loro gli accessi al miglior offerente sui forum del dark web. La loro ascesa in popolarità segue la tendenza all'abbassamento delle barriere all'ingresso nel mondo della criminalità informatica.

I broker di accesso iniziale ottengono l'accesso alla rete per le organizzazioni vulnerabili, identificando probabilmente gli obiettivi indiscriminatamente attraverso strumenti di scansione disponibili al pubblico. Una volta che hanno messo piede all'interno della rete delle vittime e stabilito il valore dell'accesso, gli IAB si rivolgono ai loro forum di criminali informatici scelti per pubblicizzare l'accesso e incassare il loro lavoro.


Cosa fa l’Operator Raas:

· Recluta affiliati sui forum

· Fornisce agli affiliati l'accesso a un "costruisci il tuo pacchetto ransomware”.

· Crea un C&C "Comando e Controllo" dedicato

· Imposta un portale di pagamento delle vittime

· Assiste gli affiliati nelle trattative con le vittime.

· Gestisce le chiavi di decrittazione.


Cosa fa l’Affiliato RaaS:

· Paga l’operatore per usare il ransomware

· Esegue ransomware

· Compromette la rete della vittima

· Imposta richieste di riscatto

· Configura i messaggi all’utente post-compromissione

· Comunica con la vittima tramite portali di chat o altri canali di comunicazione



Gli operatori RaaS più sofisticati offrono portali che consentono ai propri abbonati di vedere lo stato delle infezioni, il totale dei pagamenti, il totale dei file crittografati e altre informazioni sui propri obiettivi. Un affiliato può semplicemente accedere al portale RaaS, creare un account, pagare con Bitcoin, inserire i dettagli sul tipo di malware che desidera creare e fare clic sul pulsante di invio. Gli abbonati possono avere accesso a supporto, community, documentazione, aggiornamenti delle funzionalità e altri vantaggi identici a quelli ricevuti dagli abbonati a prodotti SaaS legittimi.


Se il cambiamento continua al ritmo del 2021, con un corrispondente aumento degli attacchi informatici, le imprese potrebbero trovarsi in difficoltà. Ora è il momento di rendere l'infrastruttura tecnologica aziendale più resiliente.

Affidarsi a soluzioni innovative e non mainstream è la strada migliore (le soluzioni tradizionali sono ormai obsolete e ben conosciute dagli stessi operatori che ransomware che quindi sanno come aggirarle con facilità). L’approccio ZERO TRUST rimane assolutamente il miglior consiglio che un esperto di cybersecurity possa dare ad una PMI: difendere gli end-point (anche dal dipendente maldestro o scontento) e proteggere i dati con verifiche evolute degli accessi.