Le gang di ransomware si evolvono con nuovi modelli di affiliazione per attirare i criminali informatici
Il panorama del ransomware continua a evolversi rapidamente e una recente ricerca di Secureworks rivela che gli autori delle minacce stanno adottando un approccio più aziendale alla criminalità informatica. Due gruppi di ransomware, DragonForce e Anubis, offrono ora programmi di affiliazione ampliati che imitano strutture aziendali legittime, completi di offerte di servizi, flessibilità di branding e sistemi di supporto.
Questi sviluppi segnano una tendenza preoccupante nel mondo del ransomware-as-a-service (RaaS), un modello che ha già reso allarmantemente facile per gli aggressori meno esperti lanciare campagne ransomware devastanti.
Table of Contents
DragonForce si trasforma in un cartello della criminalità informatica
DragonForce, un'operazione RaaS emersa per la prima volta nell'agosto 2023, si è recentemente rinominata "cartello", una mossa che evidenzia il suo passaggio a una struttura più decentralizzata. Secondo la Counter Threat Unit (CTU) di Secureworks, il gruppo offre ora un modello di affiliazione unico che consente ai criminali informatici di creare i propri marchi di ransomware.
Invece di richiedere agli affiliati di utilizzare il suo ransomware, DragonForce fornisce l'accesso alla sua infrastruttura, inclusi pannelli di amministrazione e client, strumenti di crittografia, sistemi di negoziazione del riscatto, soluzioni di archiviazione dati, un sito di fuga di notizie basato su Tor e assistenza clienti. Questa flessibilità è interessante per gli aggressori che possiedono un proprio malware ma necessitano di supporto logistico, infrastrutturale o di interazione con le vittime.
Sebbene questo modello possa attrarre una gamma più ampia di criminali informatici, presenta anche dei rischi. Se un'affiliata viene compromessa, anche altre collegate all'infrastruttura condivisa potrebbero essere esposte, potenzialmente smantellando intere reti di attacchi coordinati.
Anubis offre tre tipi di partnership contro il ransomware
Anche Anubis, un altro operatore RaaS, sta rompendo gli schemi introducendo tre distinti modelli di affiliazione. Ognuno di essi offre un percorso diverso ai criminali che cercano di monetizzare gli attacchi:
- Una classica configurazione RaaS, in cui gli affiliati trattengono l'80% dei pagamenti del riscatto.
- Un modello di "riscatto dei dati" in cui analisi dettagliate delle vittime vengono pubblicate su un sito protetto da password per spingerle a pagare.
- Un modello di "monetizzazione dell'accesso" che aiuta gli affiliati a estorcere denaro alle vittime precedentemente compromesse, offrendo il 50% del ricavato del riscatto.
Il metodo di riscatto dei dati si distingue per la sua somiglianza a una forma di content marketing criminale. Gli operatori di Anubis pubblicano un "articolo investigativo" sui dati rubati alla vittima, quindi lo condividono privatamente con quest'ultima, avvertendola che il mancato pagamento comporterà la divulgazione delle informazioni. Hanno persino sfruttato la presenza sui social media per aumentare la pressione e minacciare la divulgazione a clienti e autorità di regolamentazione.
Gli operatori di ransomware ora operano come aziende
Questi modelli di affiliazione dimostrano che i moderni gruppi ransomware gestiscono sempre più le loro attività come aziende legittime. Dall'offerta di supporto tecnico alla possibilità di personalizzazione del brand, le strategie sono progettate per attrarre una gamma più ampia di potenziali aggressori. In effetti, l'offerta di DragonForce assomiglia molto a quella di un fornitore di servizi gestiti, ma senza la legalità.
Secondo Rafe Pilling, Direttore Threat Intelligence di Secureworks, chi si occupa di sicurezza dovrebbe iniziare a considerare le bande di ransomware come entità aziendali. Questi autori di minacce si adattano rapidamente, alla ricerca di profitti e reagendo ai cambiamenti nell'ecosistema della criminalità informatica, tra cui le misure repressive delle forze dell'ordine e il calo dei pagamenti dei riscatti.
Come le organizzazioni possono rimanere protette
Con la barriera d'ingresso per gli attacchi ransomware che si sta ulteriormente abbassando, le organizzazioni devono adottare misure proattive per rafforzare le proprie difese. La CTU di Secureworks raccomanda le seguenti misure di sicurezza:
- Applicare regolarmente patch ai sistemi connessi a Internet
- Implementare l'autenticazione multifattoriale resistente al phishing
- Mantenere backup sicuri e offline dei dati critici
- Monitorare endpoint e reti per comportamenti insoliti
- Sviluppare e testare un piano dettagliato di risposta agli incidenti
La crescente sofisticazione delle bande di ransomware e dei loro modelli di affiliazione rappresenta una minaccia crescente per la sicurezza informatica globale. Comprendere il funzionamento di queste operazioni, e prepararsi ad affrontarle come ci si preparerebbe a un concorrente aziendale esperto, potrebbe essere la chiave per rimanere un passo avanti.
