ransomware come servizio (RaaS)

Il ransomware è una delle maggiori minacce alla cybersecurity aziendale e continua a crescere. Solo nel terzo trimestre del 2020, gli attacchi ransomware sono aumentati del 50% in tutto il mondo rispetto al trimestre precedente. Uno dei maggiori fattori alla base del continuo successo di ransomwareè l'adozione del Ransomware as a Service (RaaS), un modello di distribuzione ransomware simile alle offerte "as a Service" basate sul cloud, in cui un fornitore mantiene l'infrastruttura o i servizi e ne vende l'accesso ai clienti.

Parli con un esperto Scopri di più

The Ransomware as-a-Service (RaaS) Economy

In the RaaS economy, the service provided is the infrastructure required to perform a ransomware attack. RaaS operators maintain the ransomware malware, offer a payment portal for victims, and may provide the “customer service” that victims might need (since many ransoms are demanded in Bitcoin or other cryptocurrencies). Their affiliates are responsible for spreading the ransomware, and any ransoms paid are split between the operators and the affiliate (typically with the operator receiving 30-40%).

Questo accordo offre vantaggi a entrambe le parti. L'operatore ottiene una scala che difficilmente sarebbe in grado di raggiungere internamente e può concentrarsi sulla manutenzione dell'infrastruttura di back-end. L'affiliato, invece, riceve l'accesso al ransomware e alla sua infrastruttura back-end e può concentrare la propria attenzione sull'infiltrazione nella rete e sull'infezione dei computer.

Questa capacità di specializzarsi è un grande vantaggio per i criminali informatici, in quanto pochi sono abili sia nello sviluppo di malware che nella penetrazione della rete. Il modello RaaS è uno dei motivi principali per cui gli attacchi ransomware hanno potuto continuare a crescere costantemente negli ultimi anni.

Top Known Ransomware as-a-Service Variants

Molti dei nomi più importanti del ransomware sono anche i principali operatori RaaS. Alcune delle varianti RaaS più prolifiche e pericolose includono:

Ryuk: Il ransomware Ryuk è una delle varianti di ransomware più prolifiche e costose esistenti. Le stime dicono che Ryuk è responsabile di circa un terzo delle infezioni ransomware dell'ultimo anno. Il ransomware è anche efficace nel convincere gli obiettivi a pagare le richieste di riscatto e si stima che abbia guadagnato 150 milioni di dollari fino ad oggi.
Lockbit: Lockbit has been around since September 2019, but it has only recently entered the RaaS space. It focuses on rapidly encrypting the systems of large organizations, minimizing the defenders’ opportunity to detect and eliminate the malware before the damage is done.
REvil/Sodinokibi: REvil competes with Ryuk as the greediest ransomware variant. This malware is spread in various ways, and REvil affiliates have been known to exploit unpatched Citrix and Pulse Secure VPNs to infect systems.
Egregor/Maze: The Maze ransomware variant made history as the first to introduce “double extortion”, which involves stealing data as part of a ransomware attack and threatening to breach it if a ransom is not paid. While Maze has since ceased operations, related ransomware variants – like Egregor – are still operational and run under the RaaS affiliate model.

Queste sono solo alcune delle varianti di ransomware che utilizzano il modello RaaS. Anche molti altri gruppi di ransomware lavorano con gli affiliati. Tuttavia, la portata e il successo di questi gruppi di ransomware significa che hanno la capacità di attrarre specialisti per diffondere il loro malware.

Protezione dagli attacchi RaaS

L'attacco ransomware continua a crescere e il RaaS significa che i criminali informatici possono specializzarsi come autori di malware o specialisti della penetrazione della rete. Le organizzazioni devono implementare soluzioni Endpoint Security in grado di rilevare e rimediare alle infezioni ransomware prima che i file critici vengano criptati.

Check Point SandBlast Agent provides comprehensive endpoint security protections. It incorporates a wide range of anti-ransomware functionality, including:

Complete Attack Vector Coverage: Ransomware can be delivered in a number of ways, including via phishing emails, drive-by downloads, compromised user accounts, and more. SandBlast Agent provides complete protection against all potential ransomware delivery vectors.
Guardia comportamentale: Il ransomware può essere identificato in base ad alcuni dei suoi comportamenti principali, tra cui la crittografia dei file e l'eliminazione dei backup OS. SandBlast Agent monitora questi comportamenti anomali, consentendo di terminare un'infezione prima che il malware possa criptare dati preziosi.
Bonifica automatizzata: SandBlast Agent offre una protezione runtime contro il ransomware, anche in modalità runtime. Questo include la bonifica completa dell'intera catena di attacchi ransomware, eliminando tutte le tracce del malware.
Secure Backup and Restore: Ransomware commonly deletes OS backups such as shadow copies of files. SandBlast Agent stores backups in memory accessible only to Check Point programs, enabling it to restore files even if OS backups are deleted.
Supporto per la ricerca delle minacce: La caccia alle minacce consente ai team di sicurezza di cercare in modo proattivo le indicazioni di infezioni da malware sui loro sistemi. SandBlast Agent raccoglie, organizza e analizza i dati critici, rendendo la caccia alle minacce più efficiente ed efficace.

Ransomware protection should be part of any organization’s security strategy, and SandBlast Agent provides peace of mind in the face of the ransomware threat. To learn more about SandBlast Agent and its capabilities, check out this solution brief. You’re also welcome to request a personalized demo to discuss how Check Point can help to improve your organization’s ransomware defenses.