Ransomware as a Service (RaaS)

I ransomware sono una tipologia di malware¹ che rende inutilizzabili i dati delle macchine infettate e chiede il pagamento di un riscatto² per ripristinare l’accesso a tali dati. Si tratta più precisamente di Trojan Horse³ che, crittografando i file sul computer colpito, richiedono poi un riscatto per dissequestrare i file interessati.

Come ogni modello di business remunerativo, anche quello dei ransomware è in continua evoluzione e la nuova frontiera è la fruibilità del servizio da parte non solo di hacker professionisti, ma anche da parte di soggetti con conoscenze tecniche limitate, ma con la volontà di derubare gli utenti vulnerabili. Tali soggetti possono essere ancora più pericolosi degli hacker professionisti, perché possono conoscere da vicino le loro vittime, il valore dei loro dati ed il livello di sicurezza dei loro sistemi.

Nel dark web⁴, tramite la rete TOR⁵, è possibile acquistare un servizio ransomware da diffondere per infettare le proprie vittime, criptare i loro documenti e, ovviamente, chiedere un riscatto.

Esempi di servizi di questo tipo sono:

• Philadelphia: È considerato uno dei più sofisticati kit Ransomware as a Service disponibili. Concepito da Rainmakers Labs, questo kit on-demand contiene tutto ciò di cui un utente malintenzionato ha bisogno per mettere in scena un attacco su larga scala ed è perfino personalizzabile a richiesta. Il kit può essere reperito, ovviamente solo sul dark web, per appena 389 dollari comprensivi del supporto tecnico. Tutte le transazioni sono in Bitcoin e non è necessario dividere i profitti con l’operatore RaaS;
• Stampado: Considerato come la versione più economica di Philadelphia, il kit Stampado RaaS è venduto per soli 39 dollari. La sua limitatezza in termini di funzionalità è certamente compensata dalla sua velocità di distribuzione. Stampado è in realtà la prima versione di Philadelphia risalente al 2016. Questo kit di malware era così facile da distribuire e la domanda è stata così alta che i produttori hanno deciso di realizzarne una versione estesa con Philadelphia;
• Princess Evolution: Il servizio chiede una commissione del 40% sugli incassi, mentre il 60% rimane in capo al committente;
• Satan: Chiede una percentuale del 30% sugli incassi, mentre il 70% rimane in capo al cliente. L’utente può specificare l’importo del riscatto, la nota personalizzata da inviare alla vittima per il mancato rispetto oltre a metodi di pagamento diversi da Bitcoin;
• RaaSberry: Rispetto alla concorrenza, RaaSberry vanta diversi livelli di prezzo. Per il prezzo di 60 dollari si riceverà un file eseguibile da 250 kb (comprendente sia crittografia che decryptor), supporto gratuito, compatibilità multi-OS e molto altro. Salendo di prezzo, c’è l’abbonamento per tre anni che costa 650 dollari. Non ci sono molte differenze tra i pacchetti, a parte la durata dell’iscrizione. RaaSberry consente al cliente di incassare tutte le entrate senza dividerle con il fornitore del servizio RaaS.
• Frozr Locker: Uno strumento leggero che ha la capacità di crittografare circa 250 tipi di estensioni. Il costo di acquisto è di circa 1.200 dollari, il che lo rende la soluzione RaaS più costosa in questa rassegna. Tuttavia, una volta acquisito, il generatore può essere utilizzato a tempo indeterminato, senza la necessità di aggiornare la sottoscrizione. Dopo aver acquistato il prodotto, si sarà in grado di personalizzare il ransomware: dettagli di pagamento, decryptor, bypass UAC e messaggi personalizzati.

Un’azienda cresce attirando nuovi clienti, cercando opportunità di crescita e rimanendo al passo con la concorrenza sviluppando prodotti migliori e più convenienti, quindi le aziende di tipo RaaS spesso dispongono perfino di programmi di affiliazione che consentono ai partner di ottenere una quota delle entrate ogni volta che viene effettuato un acquisto. 

È una frontiera alla quale prestare molta attenzione.

¹ Abbreviazione di malicious software, ossia software dannoso. Nel mondo della sicurezza informatica, indica un qualsiasi programma utilizzato per disturbare le operazioni svolte da un utente di un computer. Il termine venne coniato nel 1990 da Yisrael Radai.
² In inglese ransom.
³ Un Trojan o Trojan Horse (in italiano cavallo di Troia) indica un tipo di malware che nasconde il suo funzionamento all’interno di un altro programma apparentemente innocuo. L’utente, eseguendo o installando quest’ultimo programma, attiva inconsapevolmente anche il codice del trojan nascosto.
⁴ Il dark web è la terminologia che si usa per definire i contenuti del World Wide Web nelle darknet che si raggiungono via Internet attraverso specifici software, configurazioni e accessi autorizzativi. Il dark web è una piccola parte del deep web, la parte di web che non è indicizzata da motori di ricerca, sebbene talvolta il termine deep web venga usato erroneamente per riferirsi al solo dark web.
⁵ TOR è l’acronimo di The Onion Router. Si tratta di un software libero basato su licenza BSD che permette una comunicazione anonima su Internet basata sul protocollo di rete di onion routing. Tramite TOR è molto più difficile tracciare l’attività Internet di un utente essendo l’onion routing finalizzato a proteggere la privacy degli utenti, la loro libertà e la possibilità di condurre delle comunicazioni confidenziali senza che vengano monitorate o intercettate.

Bibliografia:

• Rapporto CLUSIT 2019
• Malware, Rootkits & Botnets A Beginner’s Guide, Christopher Elisan
• Cybersecurity kit di sopravvivenza, Giorgio Sbaraglia
• Computer security: principles and practice, Stallings William