Il Ransomware-as-a-service (RaaS) è aumentato negli ultimi anni, diventando un modello dominante per l’implementazione di attacchi ransomware, sebbene molti attacchi mirati e personalizzati persistano ancora. I gruppi ransomware attivi sono aumentati di oltre il 50% nella prima metà del 2024 e hanno trasformato gli attacchi ransomware in un’operazione snella e semplificata , che funziona in modo simile a una piccola impresa, con stipendi, valutazioni delle prestazioni e persino referral di reclutamento utilizzati per ottimizzare le operazioni.
Sfortunatamente, questi sviluppi rendono le cose più difficili per le organizzazioni che già faticavano a difendersi dagli attacchi ransomware. Tuttavia, conoscendo il funzionamento di questi gruppi e comprendendo la loro composizione organizzativa, i responsabili della sicurezza possono creare in modo più efficace strategie di cyber resilienza che aiutino contro questo tipo di attacchi. In questo articolo intendiamo offrire uno sguardo più approfondito alla composizione organizzativa dei gruppi RaaS e aiutarti a difenderti in modo più efficace da essi.
L’anatomia di un gruppo RaaS
Le organizzazioni criminali che si occupano di ransomware ora operano come aziende di software e fornitori di servizi semplificati, con diversi ruoli chiave che facilitano questa operazione efficiente:
- Operatori: sono più simili agli imprenditori di un’operazione RaaS, che supervisionano l’implementazione, la gestione, supportano l’infrastruttura finanziaria prima e dopo la compromissione e garantiscono che l’operazione sia aggiornata e ottimizzata per attacchi continui.
- Affiliati : gli affiliati sono essenzialmente hacker professionisti che operano come appaltatori indipendenti. Si sporcano le mani sfruttando l’accesso per distribuire ransomware, navigando nella rete di un’organizzazione compromessa e assicurandosi che il ransomware venga distribuito in modo efficace. Gli affiliati possono lavorare con più operatori e cambiare alleanze a seconda delle necessità.
- Broker di accesso iniziale: sono gli esperti di penetrazione che inizialmente identificano una vulnerabilità all’interno di un’organizzazione, sfruttano tale vulnerabilità e configurano l’accesso affinché un’affiliata possa avvicinarsi.
- Sviluppatori: gli sviluppatori creano e mantengono il software e l’infrastruttura tecnica che supportano lo sfruttamento delle vulnerabilità, la compromissione delle organizzazioni e l’implementazione del ransomware. Mentre alcuni sviluppatori si concentrano sul codice dannoso, come gli encryptor o gli strumenti di bypass EDR, altri lavorano su attività di sviluppo più convenzionali come la creazione di portali Web o sistemi back-end per supportare l’operazione complessiva. È anche comune per gli sviluppatori lavorare per più gruppi o vendere il loro codice ad altri operatori di ransomware, alimentando ulteriormente l’ecosistema dei criminali informatici.
Oltre ai ruoli principali, l’ecosistema RaaS include una varietà di altri professionisti che contribuiscono al suo successo. Questi possono variare dai negoziatori, che intervengono dopo il compromesso per massimizzare i pagamenti del riscatto e intensificare le minacce, agli specialisti in campi come l’analisi dei dati, le comunicazioni o persino le pubbliche relazioni per gestire le interazioni del gruppo. Questo ecosistema aperto consente di applicare una gamma di competenze al servizio dell’operazione.
Una volta che un attacco ransomware ha successo, la maggior parte del pagamento solitamente va agli affiliati, che sono i principali attori di questo ecosistema. I profitti rimanenti vengono condivisi tra altri gruppi in base ai loro contributi. In molti casi, i gruppi ransomware collaborano, ma molti attori della minaccia lavorano come freelance, offrendo le loro competenze specialistiche a più gruppi.
Come si stanno evolvendo i ruoli RaaS
Con l’evoluzione di questi gruppi RaaS, stiamo assistendo all’aumento dell’importanza dei broker e degli sviluppatori di accesso iniziale e alla loro crescente influenza sul funzionamento di questi gruppi. I broker di accesso iniziale in genere non aspettano di essere assunti. Invece, ottengono in modo proattivo l’accesso a più aziende e ambienti, creando un portafoglio di sistemi compromessi che possono offrire ai potenziali acquirenti.
D’altro canto, gli sviluppatori possono anche fungere da proprietari e responsabili di piccoli gruppi RaaS e assumere altri sviluppatori che possono scrivere strumenti e infrastrutture periferiche per supportare gli attacchi. Ciò include soluzioni di bypass di endpoint detection and response (EDR) o soluzioni di accesso backdoor o infrastrutture che potrebbero non sembrare nemmeno in grado di facilitare l’hacking black hat. Ciò consente agli sviluppatori di assumere altri ingegneri che potrebbero non sapere nemmeno di lavorare per un gruppo di hacker criminali o avere abbastanza dubbi per accettare il lavoro.
Man mano che questi gruppi diventano più sofisticati, possono continuare a perfezionare le loro pratiche di reclutamento. Attualmente, vengono in gran parte eseguite tramite forum, raccomandazioni e sistemi chiusi, ma questo potrebbe comportare assunzioni non comprovate. Con più tempo, saranno in grado di assumere attori che hanno già svolto il lavoro e hanno un curriculum a supporto delle loro competenze.
Sebbene i gruppi RaaS stiano diventando più efficienti e snelli, c’è ancora margine di miglioramento, il che significa che le organizzazioni devono essere pronte.
Cosa viene preso di mira e chi è a rischio?
In passato, i gruppi ransomware prendevano di mira settori specifici in base a vulnerabilità note e all’esposizione comune al rischio nelle organizzazioni di un settore. Tuttavia, questo passaggio a RaaS ha cambiato il modo in cui le organizzazioni vengono prese di mira. Invece di mirare a settori chiave, questi gruppi iniziano con le vulnerabilità e cercano organizzazioni che utilizzano sistemi o dispositivi con vulnerabilità note e prendono di mira coloro che difficilmente hanno patchato i dispositivi vulnerabili. Gli obiettivi più comuni qui sono i dispositivi di rete edge come firewall applicativi, dispositivi VPN, router e altro ancora.
Questi gruppi sfruttano strumenti di scansione automatizzati, cercando l’utilizzo del dispositivo e da lì effettuano il triage. Si tratta di un grande cambiamento, poiché le organizzazioni vulnerabili vengono scoperte molto prima e i gruppi sanno già come otterranno l’accesso e comprometteranno un’organizzazione. Questo perché questi autori di minacce si stanno muovendo molto più rapidamente per sfruttare le vulnerabilità note. In passato, una volta scoperta una vulnerabilità e pubblicata la prova di concetto, gli autori di minacce erano in grado di trasformarle in un’arma professionale in circa un mese.
Oggigiorno ci vogliono circa 24 ore.
Ciò significa che qualsiasi organizzazione che può essere colpita dalla vulnerabilità è a rischio. I gruppi ransomware lo sanno, motivo per cui iniziano con le vulnerabilità e prendono di mira indiscriminatamente le organizzazioni suscettibili.
Rafforzare le difese contro RaaS
Qualsiasi strategia di mitigazione del rischio o difensiva deve iniziare con la consapevolezza. C’è molto rumore nella sicurezza informatica e le tendenze si stanno muovendo più velocemente che mai, rendendo difficile sapere su quali informazioni è necessario agire. Se le organizzazioni pensano ancora al ransomware semplicemente come a un attacco di crittografia o che l’e-mail sia il vettore più comune, allora sono cieche a ciò che sta realmente accadendo con questi nuovi ransomware come gruppi di servizi.
Comprendere che questi gruppi sono molto più sofisticati, sfruttano vulnerabilità note e sono coinvolti in attacchi estorsivi ti aiuterà a sviluppare strategie più efficaci. A lungo termine, dovresti investire in cyber threat intelligence per sapere come questi attori delle minacce stanno prendendo di mira le organizzazioni e come stanno cambiando i loro metodi.
Contro questi attuali gruppi RaaS, la gestione delle vulnerabilità e la gestione delle patch sono necessarie dato che i dispositivi di rete edge e le loro vulnerabilità stanno diventando il principale punto di ingresso per questi aggressori. Se stai adottando un approccio “patch everything all the time”, allora è probabile che ti esponi al rischio di vulnerabilità critiche a causa della velocità con cui questi aggressori si stanno muovendo. È importante avere un processo per la gestione delle vulnerabilità critiche e dare priorità alle patch.
Con misure preventive in atto, puoi investire nella ricerca delle minacce, che ti consente di scoprire una potenziale minaccia dopo che è nel tuo sistema. Qui è necessario sfruttare soluzioni come gli strumenti XDR, EDR e MDR , ma è importante assicurarsi di risolvere per comprensione e visibilità con il tuo fornitore. Anche piccole lacune nella visibilità o nelle capacità di rilevamento sono sufficienti per un hacker per muoversi lateralmente ed eludere il rilevamento.
