Ransomware as a Service, la nuova frontiera della criminalità informatica

Ransomware as a Service, la nuova frontiera della criminalità informatica

Sono sempre più i piccoli criminali informatici con scarse conoscenze tecniche che si affidano ai servizi dei grossi gruppi in cambio di una commissione sui proventi dei riscatti

di pubblicata il , alle 15:01 nel canale Sicurezza
 

I paradigmi "as a service" si sono rapidamente diffusi nel passato recente, ad indicare risorse, asset, attività che potessero essere fruite in forma di servizio liberandosi spesso da oneri e costi ingombranti. E' il caso per esempio di SaaS (Software as a Service), IaaS (Infrastructure as a Service), PaaS (Plataform as a Service) o DBaaA (Database as a Service).

Lo stesso concetto si sta rapidamente diffondendo nel mondo della criminalità informatica e se già da qualche tempo esistono forme di malware as a service era inevitabile che si giungesse anche più nello specifico al caso del ransomware as a service che costituisce l'origine di due terzi degli attacchi verificatisi nel corso del 2020.

Ransomware: servizi in vendita sul dark web

Gli attacchi ransomware hanno dimostrato e continuano ancor oggi a dimostrare la loro efficacia nella capacità di raccogliere denaro dalle vittime. I gruppi di attacco più sofisticati riescono ad intascare cifre anche nell'ordine dei milioni di dollari - a seconda del profilo della vittima - e anche i "pesci piccoli" vogliono sfruttare questa strada per incassare soldi, magari senza però avere le capacità di sviluppare e distribuire ransomware.

Ecco che il mondo della criminalità informata fiuta l'affare: una domanda a cui offrire agli interessati la vendita o il noleggio di ransomware tramite i canali del dark web. In questo modo anche individui e criminali con poche conoscenze tecniche possono fare leva su campagne di ransomware sviluppato e distribuito da terzi, i quali tratterranno una percentuale del riscatto che le vittime pagheranno per la chiave di decifratura.

Group-IB, società che si occupa di sicurezza informatica, ha evidenziato in un'analisi che il 66% circa degli attacchi ransomware osservati nel corso del 2020 erano condotti tramite questo modello. Una richiesta così elevata che sta portando ad una vera e propria concorrenza tra gli sviluppatori di ransomware al punto da elaborare anche offerte speciali per coloro i quali sono interessati a compiere malefatte usando questo tipo di strumenti.

Ransomware, una piaga inasprita dalla pandemia COVID-19

Si tratta di una situazione in qualche modo catalizzata dalle conseguenze della diffusione della pandemia COVID-19, che ha messo le aziende sparse un po' per tutto il mondo nelle condizioni di fornire ai dipendenti la possibilità e gli strumenti di lavorare da remoto. La diretta conseguenza è l'incremento del numero di server Remote Desktop Protocol accessibili pubblicamente, per i quali però è stata presa sotto gamba la loro sicurezza. Il risultato è che molti di questi server hanno rappresentato il punto d'accesso iniziale per gli operatori di ransomware.

Ed è bene notare che sono veramente poche e semplici le contromisure che si potrebbero mettere in atto per allestire un livello di protezione iniziale che avrebbe comunque l'effetto di ridurre l'incidenza degli attacchi ransomware o, almeno, di rendere la vita un po' più difficile agli attaccanti. Restrizioni degli indirizzi IP che possono connettersi ai server RDP, limiti al numero di tentativi d'accesso in una finestra temporale, autenticazione a più fattori e l'uso di password personalizzate invece di quelle predefinite.

Quando si tratta di ransomware è l'approccio proattivo a risultare vincente, ovvero la volontà di creare un ambiente che possa prontamente rispondere ripristinando l'operatività e recuperando i dati senza dover cedere all'estrema ratio del pagamento del riscatto, che spesso non è nemmeno garanzia di ottenere una soluzione. Fino a quando vi saranno realtà disposte a pagare, la piaga dei ransomware non si estinguerà facilmente e, anzi, vedrà campagne sempre più sofisticate e ad ampio spettro.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Therinai06 Marzo 2021, 15:51 #1
L'espessione "as a service" nella mia testa ormai viene automaticamente tradotta in "inculata diggitale"
rockroll07 Marzo 2021, 01:41 #2
Originariamente inviato da: Therinai
L'espessione "as a service" nella mia testa ormai viene automaticamente tradotta in "inculata diggitale"


Inculata a sangue, con sabbia e pece come lubrificante.

Eppure la gente è felice di ciò, e poi è di moda, fa shick.
gabmac207 Marzo 2021, 19:28 #3
alla fine non aggiunge niente di nuovo
panic-error07 Marzo 2021, 20:36 #4
Certo, per ridurre drasticamente i ramsonware basta filtrare i server RDP per indirizzo IP (quali poi che il 90% delle connessioni domestiche hanno IP dinamici?) come se il problema fosse solo quello. Suggerire una contromisura come questa lascia solo capire che chi ha scritto questo articolo non capisce una mazza sia di sicurezza che di networking.
Ci sono aziende che hanno adottato contromisure ben più sofisticate e nonostante tutto sono state colpite, se sei oggetto di un attacco mirato ha molte, moltissime probabilità di venire colpito. Le aziende serie infatti non ragionano con “potrei essere colpito da ramsonware?” ma bensì con “quando sarò colpito da ramsonware quanti giorni o ore di down dei servizi sono accettabili per me?”. Non è questione di “se” ma di “quando” sarò colpito. Quindi giusto investire in sicurezza ma prima di tutto dei avere delle strategie di backup che ti permettano di fare un restore completo nel tempo che l’azienda ritiene accettabile.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^