Negli ultimi anni il mercato criminale del malware si è professionalizzato. Il modello Ransomware-as-a-Service (RaaS) ha trasformato il ransomware da strumento di specialisti in servizio accessibile anche a operatori meno esperti, aumentando la portata e la frequenza degli attacchi. In questo articolo spieghiamo in termini tecnici ma accessibili come funziona il modello RaaS, i vettori principali, l’impatto operativo e le misure concrete per mitigare il rischio.
Cos’è Ransomware-as-a-Service (RaaS)?
RaaS è un modello commerciale criminale in cui gli sviluppatori di ransomware offrono il software — spesso comprensivo di pannello di controllo, builder e infrastruttura di pagamento — ad affiliati in cambio di una percentuale sui profitti. Il fornitore mantiene e aggiorna il codice, fornisce supporto tecnico e talvolta servizi aggiuntivi come leak site per pubblicare dati esfiltrati. Gli affiliati si occupano dell’infiltrazione iniziale e della diffusione all’interno delle reti bersaglio.
Come funziona il modello RaaS
Il ciclo operativo tipico prevede: sviluppo e distribuzione del payload, gestione dell’infrastruttura di comando e controllo (C2), strumenti per la criptazione e per la gestione dei riscatti, e canali di monetizzazione. I fornitori offrono interfacce web di tipo “affiliate panel” per monitorare infezioni, visualizzare pagamenti e generare istruzioni di riscatto. Le commissioni variano: alcuni provider richiedono una percentuale fissa, altri offrono piani con fee ricorrenti o modelli “pay-per-use”.
Tecniche e vettori d’attacco comuni
Gli affiliati RaaS impiegano una combinazione di tattiche per ottenere accesso e diffusione:
- Phishing mirato e malspam con allegati Office o link malevoli.
- Compromissione di credenziali tramite credential stuffing e attacchi a servizi RDP esposti.
- Sfruttamento di vulnerabilità note in servizi di rete, VPN o software non aggiornato.
- Movimenti laterali con strumenti legittimi (Living off the Land) e abuso di protocolli come SMB.
- Esfiltrazione preliminare dei dati per effettuare il cosiddetto double extortion (minaccia di pubblicare dati se il riscatto non viene pagato).
I payload possono includere componenti di stealth per disabilitare backup e soluzioni di sicurezza, oltre a moduli per la cifratura e la cancellazione dei punti di ripristino.
Impatto e modelli di estorsione
Oltre alla perdita di disponibilità dei dati, le vittime affrontano rischi reputazionali e sanzioni normative in caso di violazione di dati personali. I criminali usano diverse tattiche di coercizione: richiesta diretta di riscatto in criptovalute, pubblicazione dei dati su leak site, vendite dei dati a terzi o minacce di divulgazione graduale. I portali di leak sono spesso accessibili tramite Tor o servizi del clear web gestiti dai provider RaaS.
Indicatori di compromesso (IoC) e segnali d’allarme
Alcuni segnali utili a individuare un’infezione includono: file rinominati con estensioni insolite, presenza di file di istruzioni per il riscatto (es. README.txt, RECOVER_INSTRUCTIONS.html), traffico anomalo verso domini Tor o gateway di criptovalute, processi che eseguono cifratura massiva e log di backup cancellati. Strumenti di telemetria e correlazione dei log possono rilevare spike improvvisi di accessi a file server o modifiche in massa dei file.
Come difendersi: misure tecniche e organizzative
La difesa efficace combina prevenzione, rilevazione e resilienza:
- Patch management rigoroso e inventory degli asset per ridurre la superficie d’attacco.
- Autenticazione multifattore (MFA) per accessi remoti e amministrativi; blocco o limitazione di RDP pubblici.
- Segmentazione di rete e least privilege per limitare il movimento laterale.
- Backup regolari, offline e versioning verificati con test di restore frequenti.
- Soluzioni EDR con rilevazione comportamentale, threat hunting e response automatizzata.
- Filtraggio email, disabilitazione macro non firmate e application allowlisting per ridurre l’esecuzione di binari malevoli.
- Log centralizzati (SIEM) e retention adeguata per supportare l’analisi post-evento.
Risposta a incidente e aspetti legali
In caso di compromissione, isolare i sistemi colpiti, preservare le evidenze e attivare il piano di incident response è fondamentale. Coinvolgere team forensi per l’analisi e le autorità competenti può essere obbligatorio in base alla normativa sulla protezione dei dati. La decisione di pagare un riscatto dovrebbe essere valutata con consulenti legali e specialisti in sicurezza: il pagamento non garantisce recupero né impedisce esfiltrazione o future aggressioni.
Conclusione
Ransomware-as-a-Service ha abbassato la barriera d’ingresso per attori criminali, rendendo gli attacchi più frequenti e sofisticati. Una strategia difensiva efficace richiede investimenti su controllo degli accessi, rilevazione comportamentale, backup resilienti e processi organizzativi maturi. La resilienza aziendale non è solo tecnologica: passa anche dalla formazione del personale e dalla preparazione a rispondere rapidamente a un incidente.