Ransomware as a Service, la nuova frontiera della criminalità informatica
I paradigmi “as a service” si sono rapidamente diffusi nel passato recente, ad indicare risorse, asset, attività che potessero essere fruite in forma di servizio liberandosi spesso da oneri e costi ingombranti. E’ il caso per esempio di SaaS (Software as a Service), IaaS (Infrastructure as a Service), PaaS (Plataform as a Service) o DBaaA (Database as a Service).
Lo stesso concetto si sta rapidamente diffondendo nel mondo della criminalità informatica e se già da qualche tempo esistono forme di malware as a service era inevitabile che si giungesse anche più nello specifico al caso del ransomware as a service che costituisce l’origine di due terzi degli attacchi verificatisi nel corso del 2020.
Ransomware: servizi in vendita sul dark web
Gli attacchi ransomware hanno dimostrato e continuano ancor oggi a dimostrare la loro efficacia nella capacità di raccogliere denaro dalle vittime. I gruppi di attacco più sofisticati riescono ad intascare cifre anche nell’ordine dei milioni di dollari – a seconda del profilo della vittima – e anche i “pesci piccoli” vogliono sfruttare questa strada per incassare soldi, magari senza però avere le capacità di sviluppare e distribuire ransomware.
Ecco che il mondo della criminalità informata fiuta l’affare: una domanda a cui offrire agli interessati la vendita o il noleggio di ransomware tramite i canali del dark web. In questo modo anche individui e criminali con poche conoscenze tecniche possono fare leva su campagne di ransomware sviluppato e distribuito da terzi, i quali tratterranno una percentuale del riscatto che le vittime pagheranno per la chiave di decifratura.
Group-IB, società che si occupa di sicurezza informatica, ha evidenziato in un’analisi che il 66% circa degli attacchi ransomware osservati nel corso del 2020 erano condotti tramite questo modello. Una richiesta così elevata che sta portando ad una vera e propria concorrenza tra gli sviluppatori di ransomware al punto da elaborare anche offerte speciali per coloro i quali sono interessati a compiere malefatte usando questo tipo di strumenti.
Ransomware, una piaga inasprita dalla pandemia COVID-19
Si tratta di una situazione in qualche modo catalizzata dalle conseguenze della diffusione della pandemia COVID-19, che ha messo le aziende sparse un po’ per tutto il mondo nelle condizioni di fornire ai dipendenti la possibilità e gli strumenti di lavorare da remoto. La diretta conseguenza è l’incremento del numero di server Remote Desktop Protocol accessibili pubblicamente, per i quali però è stata presa sotto gamba la loro sicurezza. Il risultato è che molti di questi server hanno rappresentato il punto d’accesso iniziale per gli operatori di ransomware.
Ed è bene notare che sono veramente poche e semplici le contromisure che si potrebbero mettere in atto per allestire un livello di protezione iniziale che avrebbe comunque l’effetto di ridurre l’incidenza degli attacchi ransomware o, almeno, di rendere la vita un po’ più difficile agli attaccanti. Restrizioni degli indirizzi IP che possono connettersi ai server RDP, limiti al numero di tentativi d’accesso in una finestra temporale, autenticazione a più fattori e l’uso di password personalizzate invece di quelle predefinite.
Quando si tratta di ransomware è l’approccio proattivo a risultare vincente, ovvero la volontà di creare un ambiente che possa prontamente rispondere ripristinando l’operatività e recuperando i dati senza dover cedere all’estrema ratio del pagamento del riscatto, che spesso non è nemmeno garanzia di ottenere una soluzione. Fino a quando vi saranno realtà disposte a pagare, la piaga dei ransomware non si estinguerà facilmente e, anzi, vedrà campagne sempre più sofisticate e ad ampio spettro.
Fonte: http://feeds.hwupgrade.it/