Ransomware as a Service: nascita e sviluppo di un mercato criminale

I metodi di attacco più comuni usati dai ransomware

I ransomware sfruttano vari metodi per compromettere i sistemi: il phishing rimane il vettore di attacco predominante, utilizzato nel 93% dei casi. I criminali informatici inviano e-mail di phishing ingannevoli, progettate per convincere gli utenti a visitare siti web pericolosi o ad aprire allegati infetti. Queste e-mail imitano spesso organizzazioni affidabili come banche, enti governativi, università, o persino contatti personali come amici e colleghi, per aumentare la loro credibilità e indurre gli utenti a fidarsi.
Oltre al phishing, esistono altri vettori di attacco comuni:

• Exploit kit: sfruttano le vulnerabilità dei sistemi per installare ransomware automaticamente sui dispositivi degli utenti. Gli aggressori spesso reindirizzano le vittime a questi kit tramite pubblicità malevole o link dannosi, colpendo dispositivi non aggiornati.
• Siti web dannosi: il ransomware può essere nascosto in siti web apparentemente legittimi o compromessi, nascosti negli script web di questi siti. Gli utenti, ignari del pericolo, visitano il sito e il ransomware viene scaricato automaticamente sul loro computer.
• Pop-up: questi annunci appaiono come notifiche autentiche e cercano di indurre gli utenti a cliccare. Una volta cliccato, il ransomware può essere scaricato automaticamente o la vittima viene reindirizzata a una pagina con link dannosi.
• Vulnerabilità software: i criminali informatici possono sfruttare falle di sicurezza nei sistemi operativi, nei browser o in altri software per installare ransomware. La mancanza di patch o aggiornamenti di sicurezza lascia una porta aperta agli attacchi.
• Applicazioni dannose: il ransomware può essere mascherato da app legittime, distribuite tramite app store non ufficiali o siti web di terze parti. Scaricare app da fonti non verificate aumenta significativamente il rischio di infezione.

> Leggi anche: “Hacktivism in Italia: quali sono le tecniche di attacco”

Che cos’è e come funziona il Ransomware as a Service (RaaS)

Il Ransomware-as-a-Service (RaaS) è un modello di business criminale che ha democratizzato l’accesso al ransomware e che ha reso possibile anche agli individui con competenze tecniche limitate di eseguire attacchi sofisticati. Questo modello si basa sulla fornitura di kit ransomware preconfigurati, facili da usare e pronti all’uso, disponibili per l’acquisto nei mercati del dark web.

Il RaaS opera in modo simile ad altri modelli di “as-a-Service”, con fornitori che offrono vari pacchetti e livelli di supporto ai propri “clienti”, i criminali informatici. I kit RaaS tipicamente includono:

• Ransomware precompilato
• Strumenti di personalizzazione del ransomware
• L’infrastruttura per la gestione del ransomware.

Questo modello “as a service” consente agli aggressori di massimizzare i profitti, riducendo i costi operativi e i rischi di cattura. D’altra parte, gli sviluppatori del RaaS guadagnano una percentuale del riscatto una volta che l’attacco va a segno e la vittima paga.
Sul dark web, oltre ai kit RaaS, si trovano istruzioni dettagliate su come condurre campagne ransomware, configurare infrastrutture di comando e controllo, riscuotere i riscatti e sfruttare le vulnerabilità nei sistemi. Viene spiegato anche come posizionare il malware per garantire un impatto debilitante.

Esempi e varianti di Ransomware-as-a-Service

Il panorama del Ransomware-as-a-Service (RaaS) è in continua evoluzione, con numerose varianti che hanno segnato la storia di questa minaccia. Ecco alcune delle più rilevanti.

• Maze: il concetto di doppia estorsione è stato introdotto per la prima volta da questa specifica variante di ransomware, in cui i criminali informatici rubano dati sensibili ed esigono un pagamento in cambio del non rilascio pubblico. Sebbene Maze abbia cessato le operazioni, il suo modello è stato adottato da altre varianti come Egregor, che continuano a prosperare e che l’hanno ulteriormente ottimizzato, introducendo il modello di doppia estorsione. Attraverso questa tecnica, il software non si limita a cifrare i file, ma ne gestisce l’esfiltrazione automatica per forzare il pagamento sotto minaccia di diffusione pubblica.
• LokiLocker è stato rilevato per la prima volta in natura nell’agosto 2021 e veniva inizialmente distribuito attraverso strumenti specializzati di attacco brute-force, che prendevano di mira account di consumatori su servizi come Spotify e PayPal.
• LockBit, Hive e Dharma sono tra le varianti di RaaS più recenti e attive e continuano a rappresentare una minaccia significativa per organizzazioni di ogni settore. In particolare, LockBit, considerato per anni lo standard industriale del RaaS, è celebre per l’estrema velocità del suo algoritmo di cifratura e per un’interfaccia di gestione talmente intuitiva da aver reso il ransomware accessibile anche ad operatori non esperti.
• Akira: emersa tra marzo e aprile 2023, è una variante cross-platform capace di infettare sistemi Windows e ambienti virtualizzati Linux utilizzando tool offensivi noti e varianti scritte in Rust. Alcune analisi italiane segnalano dal 2024‑2025 una vera “campagna” contro le PMI italiane, in particolare nel Nord‑Est, con attacchi molto rapidi che in meno di 24 ore compromettono l’infrastruttura, esfiltrano e cifrano dati e cancellano i backup, puntando proprio su VPN senza MFA, RDP pubblici, firewall obsoleti e sistemi legacy non segmentati.
• BlackCat (ALPHV): compare a fine 2021 ed è considerato uno dei primi grandi ransomware scritti in Rust, progettato fin dall’inizio per funzionare su Windows e Linux e offerto in modalità RaaS a affiliati che trattengono l’80–90% del riscatto. In Italia è noto l’attacco all’Università di Pisa del 2023, quando il gruppo ha pubblicamente rivendicato la compromissione, richiesto un riscatto di milioni di dollari e minacciato la diffusione dei dati, confermando l’interesse del gruppo per target accademici e infrastrutture critiche italiane.
• Phobos: nato come “erede” di Dharma è una variante molto comune nei kit RaaS a basso costo, utilizzata principalmente per attacchi massivi e meno mirati. Si distingue per la sua persistenza nei sistemi e per la facilità con cui può essere riconfigurata dagli affiliati. Storicamente privo di doppia estorsione, negli ultimi anni alcune affiliate hanno introdotto leak site dedicati, adottando anche per Phobos lo schema di furto dati e minaccia di pubblicazione.

Ransomware & AI: l’evoluzione della minaccia

Un trend critico che sta ridefinendo il panorama del cybercrime è l’uso crescente dell’intelligenza artificiale da parte degli attaccanti. Questa tecnologia permette di automatizzare la creazione di nuove varianti di ransomware e di perfezionare le campagne di phishing, rendendole estremamente convincenti e difficili da intercettare.

Gruppi come FunkSec, ad esempio, sfruttano strumenti di AI generativa per scrivere codice malevolo, gestire in modo automatizzato le comunicazioni con le vittime e generare iterazioni di malware sempre diverse per sfuggire ai sistemi di rilevamento. L’adozione di queste tecnologie abbassa drasticamente la barriera d’ingresso: oggi anche cybercriminali con competenze tecniche limitate possono lanciare campagne su larga scala dotate di una sofisticazione senza precedenti.

> Scopri la formazione su AI Security & technical safety

In questo nuovo scenario, il pilastro per la difesa non è più solo tecnologico, ma risiede nella gestione della fiducia attraverso il concetto di identità sicura. In un ecosistema di Agentic AI, l’identità non è più un attributo riservato agli esseri umani, ma deve estendersi a questa nuova “forza lavoro digitale” (gli agenti AI). Ad oggi, l’identità rappresenta la sfida di sicurezza più complessa: l’88% di tutti gli attacchi ransomware è infatti innescato dal furto di credenziali. Una volta che un attaccante ottiene le cosiddette “chiavi del regno”, l’intera infrastruttura organizzativa cade.

Per neutralizzare questa minaccia, l’implementazione dell’Agentic AI deve essere costruita sui principi dello Zero Trust: un modello dove nessuna identità — umana o sintetica — è considerata sicura di default e ogni accesso deve essere costantemente verificato e autorizzato.

> Leggi anche: “Modello di sicurezza Zero Trust: i principi fondamentali”

La crescente disponibilità di strumenti RaaS sta portando a un aumento del numero e della varietà degli attacchi, colpendo non solo grandi organizzazioni ma anche piccole e medie imprese e individui. Questo incremento potrebbe portare a un ulteriore innalzamento dei costi legati alla sicurezza informatica, rendendo indispensabile per le aziende l’adozione di strategie di difesa più avanzate, come la formazione continua del personale, la segmentazione delle reti e l’implementazione di soluzioni di backup e ripristino. Allo stesso tempo, il RaaS potrebbe spingere verso una maggiore collaborazione internazionale tra governi, aziende di sicurezza informatica e organizzazioni per contrastare in modo efficace la diffusione di queste minacce. Tra le iniziative e i progetti che cercano di controllare e mitigare l’impatto degli attacchi troviamo il progetto No More Ransom (link esterno), guidato da Europol e da varie entità di sicurezza informatica, che contribuiscono agli sforzi globali nella prevenzione del ransomware. NMR offre una piattaforma per la collaborazione tra forze dell’ordine, aziende di sicurezza informatica e vittime di ransomware, fornendo strumenti e risorse per la prevenzione, la decrittografia e il ripristino dei dati.