Il ransomware non è nuovo ma la grande differenza oggi è che questi attacchi possono mettere a rischio intere aziende, non solo i dati di un singolo PC come 10 anni fa. Quindi, il passaggio al ransomware a livello aziendale ha cambiato l'obiettivo dell'attaccante che è diventato di interrompere le operation e mettere in ginocchio l’azienda.
Attraverso il nostro osservatorio privilegia del Pronto Intervento Cyber abbiamo visto alcune PMI che a fronte di un attacco ransomware non hanno denunciato, non hanno pagato il riscatto esorbitante per le casse dell’azienda e purtroppo sono riuscite a ripartire con la produzione solo dopo diverse settimane di fermo. Ciò ha portato l’attuale rischio ad un livello più alto, oggi il ransomware è un vero rischio esistenziale per la sopravvivenza di un'impresa.
Inoltre, il successo del più moderno modello di business intorno ai ransomware, il RaaS rende questo strumento il più desiderato dal cyber crime. Ransomware as a Service (RaaS) è un modello di business tra operatori di ransomware e affiliati in cui gli affiliati pagano per lanciare attacchi ransomware sviluppati dagli operatori. Pensa al ransomware come servizio ed un modello di business del software denominato (SaaS).
I kit RaaS consentono agli affiliati che non hanno le capacità o il tempo per sviluppare la propria variante di ransomware di essere operativi in modo rapido e conveniente. Sono facili da trovare sul web oscuro, dove sono pubblicizzati nello stesso modo in cui le merci sono pubblicizzate sul web legittimo.
Un kit RaaS può includere supporto 24 ore su 24, 7 giorni su 7, offerte in bundle, recensioni degli utenti, forum e altre funzionalità identiche a quelle offerte dai fornitori SaaS legittimi.
Esistono quattro modelli di entrate RaaS comuni:
1. Abbonamento mensile a tariffa fissa
2. Programmi di affiliazione, che sono gli stessi di un modello a canone mensile ma con una percentuale dei profitti (in genere 20-30%) che va allo sviluppatore di ransomware
3. Canone di licenza una tantum senza partecipazione agli utili
4. Pura partecipazione agli utili
Cosa fa l’Operatore Raas:
· Recluta affiliati sui forum
· Fornisce agli affiliati l'accesso a un "costruisci il tuo pacchetto ransomware”.
· Crea un C&C "Comando e Controllo" dedicato
· Imposta un portale di pagamento delle vittime
· Assiste gli affiliati nelle trattative con le vittime.
· Gestisce le chiavi di decrittazione.
Cosa fa l’Affiliato RaaS:
· Paga l’operatore per usare il ransomware
· Esegue ransomware
· Compromette la rete della vittima
· Imposta richieste di riscatto
· Configura i messaggi all’utente post-compromissione
· Comunica con la vittima tramite portali di chat o altri canali di comunicazione
Nel 2021 abbiamo assistito ad un aumento del focus istituzionale nella sicurezza informatica. L'amministrazione Biden ha evidenziato la sicurezza informatica come una delle sue massime priorità, definendola "un imperativo di sicurezza nazionale e di sicurezza economica". L'ordine esecutivo 14028 del presidente Biden sul miglioramento della sicurezza informatica della nazione è un esempio. Ha anche annunciato che gli attacchi contro le infrastrutture critiche sarebbero stati trattati come attacchi allo stato-nazione e che può, e utilizzerà, i poteri del governo per vendicarsi.
L’Unione Europea (UE) ha introdotto il Digital Operations Resilience Act (DORA). Il Regno Unito ha introdotto il progetto di legge sulla sicurezza dei prodotti e sull'infrastruttura delle telecomunicazioni.
Se il cambiamento continua al ritmo del 2021, con un corrispondente aumento degli attacchi informatici, le imprese potrebbero trovarsi in difficoltà. Ora è il momento di rendere l'infrastruttura tecnologica aziendale più resiliente.
Affidarsi a soluzioni innovative e non mainstream è la strada migliore (le soluzioni tradizionali sono ormai obsolete e ben conosciute dagli stessi operatori che ransomware che quindi sanno come aggirarle con facilità). L’approccio ZERO TRUST rimane assolutamente il miglior consiglio che un esperto di cybersecurity possa dare ad una PMI: difendere gli end-point (anche dal "dipendente maldestro" o dal "dipendente scontento") e proteggere i dati con verifiche evolute degli accessi.
