Il RaaS spiegato nel dettaglio

Il ransomware non è nuovo ma la grande differenza oggi è che questi attacchi possono mettere a rischio intere aziende, non solo i dati di un singolo PC come 10 anni fa. Quindi, il passaggio al ransomware a livello aziendale ha cambiato l'obiettivo dell'attaccante che è diventato di interrompere le operation e mettere in ginocchio l’azienda.


Inoltre, il successo del più moderno modello di business intorno ai ransomware, il RaaS rende questo strumento il più desiderato dal cyber crime. Ransomware as a Service (RaaS) è un modello di business tra operatori di ransomware e affiliati in cui gli affiliati pagano per lanciare attacchi ransomware sviluppati dagli operatori. Pensa al ransomware come servizio ed un modello di business del software denominato (SaaS).


I kit RaaS consentono agli affiliati che non hanno le capacità o il tempo per sviluppare la propria variante di ransomware di essere operativi in modo rapido e conveniente. Sono facili da trovare sul web oscuro, dove sono pubblicizzati nello stesso modo in cui le merci sono pubblicizzate sul web legittimo.

Un kit RaaS può includere supporto 24 ore su 24, 7 giorni su 7, offerte in bundle, recensioni degli utenti, forum e altre funzionalità identiche a quelle offerte dai fornitori SaaS legittimi.

Esistono quattro modelli di entrate RaaS comuni:


1. Abbonamento mensile a tariffa fissa

2. Programmi di affiliazione, che sono gli stessi di un modello a canone mensile ma con una percentuale dei profitti (in genere 20-30%) che va allo sviluppatore di ransomware

3. Canone di licenza una tantum senza partecipazione agli utili

4. Pura partecipazione agli utili





Cosa fa un IAB - Initial Access Brocker:

I broker di accesso iniziale (IAB) fanno il lavoro tecnico sporco fornendo agli operatori di ransomware un gran numero di vittime da compromettere. Simbolo della professionalizzazione della criminalità informatica, Initial Access Brokers funge da intermediario trovando organizzazioni vulnerabili e vendendo loro gli accessi al miglior offerente sui forum del dark web. La loro ascesa in popolarità segue la tendenza all'abbassamento delle barriere all'ingresso nel mondo della criminalità informatica.

I broker di accesso iniziale ottengono l'accesso alla rete per le organizzazioni vulnerabili, identificando probabilmente gli obiettivi indiscriminatamente attraverso strumenti di scansione disponibili al pubblico. Una volta che hanno messo piede all'interno della rete delle vittime e stabilito il valore dell'accesso, gli IAB si rivolgono ai loro forum di criminali informatici scelti per pubblicizzare l'accesso e incassare il loro lavoro.


Cosa fa l’Operatori Raas:

· Recluta affiliati sui forum

· Fornisce agli affiliati l'accesso a un "costruisci il tuo pacchetto ransomware”.

· Crea un C&C "Comando e Controllo" dedicato

· Imposta un portale di pagamento delle vittime

· Assiste gli affiliati nelle trattative con le vittime.

· Gestisce le chiavi di decrittazione.


Cosa fa l’Affiliato RaaS:

· Paga l’operatore per usare il ransomware

· Esegue ransomware

· Compromette la rete della vittima

· Imposta richieste di riscatto

· Configura i messaggi all’utente post-compromissione

· Comunica con la vittima tramite portali di chat o altri canali di comunicazione



Gli operatori RaaS più sofisticati offrono portali che consentono ai propri abbonati di vedere lo stato delle infezioni, il totale dei pagamenti, il totale dei file crittografati e altre informazioni sui propri obiettivi. Un affiliato può semplicemente accedere al portale RaaS, creare un account, pagare con Bitcoin, inserire i dettagli sul tipo di malware che desidera creare e fare clic sul pulsante di invio. Gli abbonati possono avere accesso a supporto, community, documentazione, aggiornamenti delle funzionalità e altri vantaggi identici a quelli ricevuti dagli abbonati a prodotti SaaS legittimi.


Se il cambiamento continua al ritmo del 2021, con un corrispondente aumento degli attacchi informatici, le imprese potrebbero trovarsi in difficoltà. Ora è il momento di rendere l'infrastruttura tecnologica aziendale più resiliente.

Affidarsi a soluzioni innovative e non mainstream è la strada migliore (le soluzioni tradizionali sono ormai obsolete e ben conosciute dagli stessi operatori che ransomware che quindi sanno come aggirarle con facilità). L’approccio ZERO TRUST rimane assolutamente il miglior consiglio che un esperto di cybersecurity possa dare ad una PMI: difendere gli end-point (anche dal dipendente maldestro o scontento) e proteggere i dati con verifiche evolute degli accessi.