SICUREZZA DIGITALE

Ransomware-as-a-service: il nemico è all’interno

L’attacco alla Regione Lazio è l’occasione per tornare a parlare di RaaS, ovvero di questo modello di business del cyber crimine, che da qualche anno nel dark web, trova l’incontro di domanda e offerta.

Dopo la catastrofe informatica che ha coinvolto la Regione Lazio, si torna a parlare di ransomware anche se, in realtà, fra chiunque abbia un minimo di alfabetizzazione di cybersecurity il tema è sempre stato assolutamente attuale e tutt’altro che poco preoccupante. 

In particolare, però, emerge il fenomeno del c.d. Ransomware-as-a-Service o RaaS, ovverosia un vero e proprio servizio messo a disposizione tramite piattaforma su dark web da alcuni cybercriminali per testare sul campo l’efficacia di alcuni ransomware. Ovviamente, il tutto avviene anche per conseguire profitti dall’attività illecita da parte dell’utente, il quale può acquistare dei “pacchetti” di servizio ed interfacciarsi così con degli sviluppatori che con pochi clic riescono a fornire sia il tipo di ransomware desiderato che il sito su cui effettuare il pagamento del riscatto. Ovviamente, una quota dei pagamenti (circa il 20-30%) viene trattenuta dai gestori della piattaforma come corrispettivo per il servizio prestato.

Grazie ad un pannello di controllo, inoltre, diventa possibile monitorare la diffusione del ransomware acquistato ed impiegato per il proprio attacco informatico, apprendendo sia gli utenti infettati che l’ammontare dei pagamenti estorti. Tutto ciò comporta una diffusione molto più ampia di questo tipo di minaccia, dal momento che aumentano sia l’accessibilità anche nei confronti di utenti poco esperti nella creazione di codici malevoli che la diffusione, con un indubbio impatto sugli scenari di rischio prospettabili.

Ad esempio, il gruppo criminale LockBit 2.0 sta attivamente reclutando degli insiders per poter entrare all’interno dei sistemi informatici delle aziende senza aver bisogno di ulteriori soggetti intermediari, dal momento che in questo modo l’accesso avviene utilizzando direttamente gli account del personale che possono ottenere o hanno già un accesso remoto o tramite VPN.

L’offerta che viene presentata consiste nell’occasione di guadagnare milioni di dollari grazie ad un semplice clic su un file eseguibile quando si è all’interno dei sistemi della propria azienda, che consentirà ai cybercriminali un primo accesso, e la garanzia di totale anonimato. Ovviamente viene fornito anche un supporto tramite chat anonima per chiarire eventuali dubbi o ricevere indicazioni più precise. Insomma: è presente anche un servizio di ticketing perfettamente in linea con i molti as-a-service leciti a cui siamo abituati.

Ora, considerato che tali scenari sono attuali, è bene considerare un riesame dell’analisi dei rischi informatici e, di conseguenza, la predisposizione di misure di sicurezza adeguate e, preferibilmente, preventive.

Altrimenti, non resta altro che attendere l’inevitabile evento salvo poi invocare a scusante una sorte avversa. Ma tale prassi – purtroppo tuttora diffusa – non giova a tenere indenni i dati né le responsabilità per qualsivoglia organizzazione.

Back to top button