Il Ransomware-as-a-Service (RaaS) è un servizio che prevede che un’organizzazione criminale metta a disposizione di altri soggetti criminali, in base a un modello di affiliazione, una piattaforma che fornisce tutti gli strumenti necessari per sferrare un attacco Ransomware, dalla crittografia dei file, alla loro archiviazione, fino al pagamento.
Il fornitore della piattaforma RaaS prende una parte dei pagamenti del riscatto ricevuti dalla vittima, mentre l’affiliato mantiene il controllo dell’azione e delle attività di comunicazione.
L’estorsione diventa servizio
Oggi esistono 16 piattaforme di Ransomware-as-a-Service nel mondo, che consentono anche a persone senza adeguata preparazione tecnica di sviluppare rapidamente, a pagamento, attacchi Ransomware fai-da-te efficaci in modo semplice e veloce.
Le piattaforme RaaS seguono modalità identiche a quelli di un’azienda legittima, con servizio di assistenza e garanzia di qualità, e si adattano continuamente ai cambiamenti dell’ambiente per non essere rilevate dai computer e dagli strumenti di sicurezza della rete.
Queste piattaforme mettono a disposizione tabelle che indicano quali sono i reali guadagni ottenibili. Per esempio, ci sono pacchetti che, con un investimento di circa 150 mila euro, garantiscono un ritorno pari a oltre 3 milioni di euro.
È questo uno dei motivi che hanno fatto di queste piattaforme un vero e proprio successo, tanto che negli ultimi tempi sono diventate uno standard di fatto per gli attacchi ai sistemi informativi.
Anche perché nei “pacchetti” vengono offerti, oltre al software, i punti di accesso relativi a varie aziende che si possono scegliere come bersagli e la capacità di riprogrammare rapidamente gli attacchi, in modo da spiazzare i principali sistemi di protezione e intercettazione degli attacchi stessi.
Entrambi le due associazioni criminali che hanno dominato il mercato del Ransomware dal punto di vista sia finanziario sia del volume di infezioni, Conti (ricavi finanziari di 12,7 milioni di dollari nel 2020) e REvil (12 milioni di dollari), forniscono piattaforme di RaaS.
Un’ulteriore tendenza negli attacchi Ransomware più elaborati è anche il reclutamento attivo di dipendenti dell’azienda bersaglio per ottenere assistenza durante l’attacco. Nell’agosto 2020, un cittadino russo dipendente di Tesla è stato condannato per aver preso attivamente parte a un attacco Ransomware.
Il livello di estorsione raddoppia
Un tema sempre più comune durante gli attacchi Ransomware è il doppio livello di estorsione. Questo tipo di attacco combina la tradizionale cifratura dei file sulla rete e sui sistemi della vittima, nonché la sottrazione degli stessi.
I dati sottratti vengono, solitamente, memorizzati e tenuti in ostaggio su un sito di proprietà del gruppo criminale.
Mentre le trattative sono in corso, i file restano bloccati e alcune piattaforme RaaS includono persino una funzione timer per indicare il tempo rimasto a una vittima per risolvere il pagamento o negoziare il riscatto.
Di conseguenza, le vittime non sono spinte solo dall’esigenza di recuperare i propri dati ma anche dalla minaccia che questi siano diffusi e che la violazione venga rivelata ai propri clienti e partner.
Un ulteriore livello di estensione della minaccia prevede che gli aggressori prendano di mira anche i clienti e/o i partner delle aziende compromesse per ottenere anche da loro un riscatto e massimizzare, così, il profitto.
L’importo del riscatto aumenta
Molte fonti differenti forniscono indicazioni sull’importo medio del riscatto chiesto in un attacco Ransomware. I dati non sono coerenti tra loro (alcuni parlano di 1 milione di dollari, altri arrivano fino a 30 milioni) ma, tutti, sottolineano un trend di incremento della cifra di due o tre volte rispetto all’anno precedente.
L’entità del riscatto richiesta inizialmente rappresenta, spesso, il punto di partenza per una contrattazione che porterà a definire la cifra che sarà effettivamente pagata.
Continuano, in ogni caso, a essere frequenti anche attività rivolte a riscatti di piccola entità che tendono a essere pagati più facilmente e che comportano una minore esposizione pubblica per l’autore della minaccia.
La cripto valuta rimane il metodo di pagamento più comune.
Aumenta anche il costo per le aziende
Durante un attacco Ransomware l’obiettivo è spesso l’infrastruttura chiave di un’azienda al fine di paralizzarne l’attività verso i clienti e/o l’operatività interna. Purtroppo, tutte le statistiche indicano che anche il tempo medio di inattività delle organizzazioni è aumentato nell’ultimo anno.
È indiscutibile che un attacco Ransomware che va a buon fine implichi per l’azienda perdite elevate. Questi costi includono l’importo del riscatto, i tempi di inattività, il costo del personale e l’effettiva riparazione operativa e tecnica.
Un sondaggio condotto da Sophos in 30 Paesi (The state of Ransomware – 2021) ha mostrato che il costo complessivo del ripristino a seguito di un attacco Ransomware è notevolmente aumentato, da oltre 761mila dollari nel 2020 a ben 1,85 milioni nel 2021.
A seguito di un Ransomware di successo, oltre ai costi relativi all’incidente, sono state osservate anche ripercussioni sulle opportunità di business e una significativa riduzione delle entrate nel periodo immediatamente successivo all’attacco.