Il ransomware cos'è? Scopriamo il funzionamento della RaaS

Aggiornamento: ago 29

Spesso molte persone vogliono comprendere i ransomware cosa sono, affannandosi nella ricerca di informazioni, scrivendo su Google "il ransomware cos'è"? Questo articolo vuole rispondere a tutte queste domande, fornendo una guida completa, che possa essere allo tempo stesso semplice ma esaustiva, per farvi comprendere il fenomeno del RaaS nel suo complesso.

Autore: Massimiliano Brolli & Serena Carlini

Data Pubblicazione: 19/06/2021


Sulle pagine di tutti i giornali sentiamo parlare di grandissimi violazioni informatiche, di milionari riscatti, di cyber-gang, di RaaS e di guerra cibernetica. Sono tutte parole che a persone non specializzate in sicurezza informatica possono generare molta confusione. Con questo articolo vogliamo spiegare il ransomware cos'è, come funziona il business altamente remunerativo del crimine informatico organizzato, concentrandoci nell'analizzare questo fenomeno a 360 gradi, comprendendo prima il concetto di "affiliazione" fino ad arrivare alle tecniche e le tattiche di attacco e di estorsione.



Il ransomware cos'è

Nell'immaginario popolare, si pensa che la criminalità informatica sia legata a singoli individui con abilità informatiche eccezionali. Ma se vuoi estorcere milioni di dollari a una grande azienda, non puoi fare tutto da solo, hai bisogno di una "squadra", ovvero:

Un gruppo di hacker criminali con competenze informatiche diversificate, avanzate e verticali, che frequentano il Dark Web e che con molta probabilità vivono in Russia.

Infatti, la stragrande maggioranza dei criminali informatici non dispone di tutte le capacità tecniche necessarie per fare da soli e quindi creare malware, estorcere denaro, penetrare le aziende. Ecco appunto che nasce la RaaS, la Ransowmare as a Service, dei criminali informatici che collaborano in modo "organizzato", per un unico scopo: estorcere tanto più denaro possibile ad una ipotetica organizzazione.


La criminalità informatica è esplosa negli ultimi anni perché i criminali si sono "specializzati" e "sotto-specializzati" in modo che ognuno potesse concentrarsi su un determinato obiettivo, su una singola fase del processo di violazione ed estorsione e tutto questo funziona terribilmente (purtroppo) bene. In questo articolo esploreremo il ransomware nel suo complesso, attraverso il seguente indice:

  • La piramide della RaaS

  • Gli sviluppatori

  • Gli affiliati

  • I broker di accesso

  • l'organizzazione

  • Lo scenario di attacco

  • La distribuzione dei guadagni

  • Altre ruoli nella RaaS e forme di outsourcing

  • Sviluppatori SDK/Librerie

  • Operatori di Negoziazione

  • Le tecniche di estorsione

  • Prima forma di estorsione

  • Seconda forma di estorsione

  • Terza forma di estorsione

  • Attacco e persistenza

  • Richiesta di riscatto

  • Operazioni di estorsione multiforme

  • La complessità nell'attribuzione di un attacco.

  • I false flag

  • Le forme di deception

  • Conclusioni



La piramide della RaaS

Per RaaS, come abbiamo detto, si intende "Ransomware as a Service", quindi Ransomware come "servizio", un modello di business criminale dove la violazione viene condotta da un gruppo di criminali informatici militarmente organizzati. Ora analizzeremo questa piramide a tre livelli, per comprendere al meglio il suo funzionamento e la divisione dei compiti tra i criminali informatici.

Gli sviluppatori

Al primo livello troviamo gli "Sviluppatori". Si tratta di esperti nella scrittura dei malware, di crittografia, che li realizzano, li aggiornano continuamente, creano strumenti per poter fornire sviluppate dashboard e sistemi di comando e controllo agli "affiliati", capaci di gestire tutta la fase di infezione, che come vedremo è la fase ultima "attiva" di un attacco ransomware, prima di passare all'estorsione. Gli sviluppatori mettono a disposizione anche degli strumenti di supporto tecnico per gli affiliati, in modo che questi possano avere delle risposte immediate dagli sviluppatori su problematiche tecniche.



Gli Affiliati

Al secondo livello abbiamo gli "Affiliati". Si tratta di altri criminali informatici che affittano il ransomware dagli sviluppatori e conducono la reale attività di attacco e di estorsione, accedendo alle reti della vittima e rimangono al suo interno per molto tempo, esfiltrando quanti più dati sensibili che gli consentiranno un ulteriore livello di persuasione nel caso in cui l'azienda non vorrà pagare la richiesta di riscatto, che vedremo nel secondo articolo.


Gli affiliati, quindi, affittano il ransomware dagli sviluppatori, accettando o concordando le provvigioni all'interno di forum underground chiusi (come i forum nelle darknet su presentazione), ma anche su forum accessibili presenti nel clearweb, come ad esempio il noto XSS.is.