Non servono molti dati per corroborare l’evidenza che i ransomware sono, a oggi, la minaccia informatica che sta maggiormente colpendo le aziende di tutto il mondo. Volendone scegliere uno di emblematico, tuttavia, c’è un 68,5% che corrisponde alla percentuale di aziende, a livello mondiale, che nel loro percorso hanno avuto la sfortuna di incrociare proprio un ransomware. Un valore molto alto e che segue un trend in netta crescita dal 2018, quando era al 55,1%.
Indice degli argomenti
Doppia modalità di estorsione
Dal punto di vista più oscuro della storia, potremmo dire che i ransomware hanno un “successo” dilagante. Per altro, non è una sorpresa: un ransomware rappresenta, a tutti gli effetti, l’arma perfetta per la cyber criminalità. È una minaccia che può sfruttare svariati vettori d’attacco, può essere personalizzata (anche radicalmente) in base all’obiettivo, offre una doppia modalità di estorsione del denaro, potendo basarsi sia sulla crittazione dei dati sia sulla loro esfiltrazione e relativa minaccia di diffusione.
Queste caratteristiche, se andiamo a vedere la storia di questa minaccia, sono il frutto di un’evoluzione continua, che l’ha portata a essere sempre più efficace ma anche sempre più complessa. Maggiore complessità significa, giocoforza, maggiori costi.
Criminali a due livelli
Il risultato è che il settore dei ransomware si è diviso in due livelli. Da una parte chi sviluppa i ransomware, dall’altra chi li compra e utilizza sull’obiettivo finale. In quest’ultimo caso, gli attori non hanno particolari competenze tecniche e, anzi, spesso appartengono al crimine tradizionale e vogliono entrare nel business digitale con soluzioni facile da usare e pronte all’uso.
È così che gli attori di primo livello, dotati invece di competenze di alto livello, poiché si tratta a tutti gli effetti di sviluppatori di malware molto complessi, sono progressivamente passati a un modello di ransomware as a service (RaaS).
Il fenomeno del ransomware as a service
Sebbene permanga un bacino di sviluppatori di ransomware pronti a vendere, anche in forma esclusiva, le proprie creazioni, si sta sempre più diffondendo la pratica di creare e gestire piattaforme che consentano di lanciare attacchi ransomware. Queste piattaforme rappresentano il cuore dell’offerta di Ransomware as a Service.
A seconda delle offerte, e dei costi, l’attore di secondo livello può mettere le mani su caratteristiche più o meno avanzate, anche se quelle di base sono piuttosto ben definite. La principale è di basarsi su una piattaforma cloud che costituisce il server di gestione del ransomware.
In genere, questi portali offrono interfacce molto semplici: il criminale si registra, paga la registrazione in criptovaluta, quindi dà avvio alla generazione del file malevolo sulla base delle proprie preferenze. Non mancano vettori d’attacco pronti all’uso, tutorial e procedure guidate per la personalizzazione.
In altri casi, il portale mette a disposizione dei “kit tutto incluso” realizzati per specifici obiettivi. Si parla di kit dedicati ad aziende specifiche, pronti a sfruttare vulnerabilità rilevate nei giorni precedenti e quindi ancora “fresche” e di solito valide.
L’economia dei ransomware as a service
In questo modo, gli autori del RaaS si espongono in modo limitato (l’accesso ai portali viene pubblicizzato nel Dark Web o in siti ad accesso circoscritto), si prendono ben pochi rischi imprenditoriali (non si colpisce un obiettivo e quindi non si contempla il fallimento) e d’altro canto, vista la crescente popolarità dei ransomware, ci si garantisce ottimi ritorni. L’economia che ruota attorno ai RaaS, del resto, ne spiega la diffusione.
Una piattaforma di questo tipo, a seconda dei casi, è offerta o tramite sottoscrizione di un abbonamento, o tramite acquisto dell’accesso una tantum, o sulla base di una percentuale sui ricavi.
È soprattutto quest’ultima la forma di pagamento più utilizzata in tempi recenti: il criminale di secondo livello paga un piccolo fee d’ingresso, poi lancia l’attacco e il ricevimento del riscatto è gestito interamente tramite la piattaforma. E in caso di pagamento si provvede alla suddivisione del bottino. In altri casi, il rapporto che intercorre tra attori di primo e secondo livello è quello di un vero e proprio sistema di franchising.
Gli sviluppatori della piattaforma, in taluni casi, provvedono anche a lanciare attacchi verso obiettivi particolarmente interessanti, ma danno anche la possibilità di sottoscrizione al servizio da parte degli attori di secondo livello. E a quel punto gli attacchi lanciati in prima persona diventano veri e propri strumenti di marketing per far presa su possibili sottoscrittori.
Una piattaforma pronta all’uso
Uno dei più recenti RaaS, che si sta diffondendo a macchia d’olio, è SunTzu. Non ancora classificato da buona parte dei software di sicurezza, crittografa i file dei sistemi infetti ad alta velocità, sfruttando un algoritmo AES a 256 bit. È venduto a 10.000 dollari una tantum.
Chi, invece, volesse osservare una piattaforma ransomware declinabile anche in versione RaaS, dal punto di vista tecnico, può dare un’occhiata al progetto Cryptonite. Qui si può trovare una completa piattaforma per il lancio di attacchi ransomware verso sistemi Windows, con tanto di dashboard, sotto forma di codice Python, che consente di gestire e visualizzare gli attacchi in corso.
Cryptonite, allo stato attuale, è una minaccia ovviamente a scopo di test personale, e per certi versi ingenua, ma dà una chiara dimensione delle possibilità di personalizzazione e di business che possono muovere un RaaS. E spiegare come questo tipo di minaccia difficilmente potrà essere estirpata.
