Ransomware-as-a-Service (RaaS) è un’evoluzione malvagia del modello Software-as-a-Service (SaaS), basata su abbonamento: i creatori di ransomware affittano o vendono strumenti già sviluppati a soggetti affiliati – detti affiliates – in cambio di una percentuale sui riscatti incassati.
Cosa troverai in questo articolo
Accessibile a criminali non esperti
Prima dell’avvento del RaaS, chi voleva lanciare un attacco doveva saper programmare malware. Oggi, grazie a RaaS, anche chi ha scarse competenze informatiche può orchestrare campagne ransomware, acquistando un “pacchetto completo” con assistenza 24/7, strumenti per cifrare e decifrare dati, e supporto tecnico. Alcuni operatori conducono persino colloqui o verifiche background prima di accettare nuovi affiliati.
Massima diffusione e velocità operativa
Il modello RaaS ha democratizzato gli attacchi computerizzati, consentendo a migliaia di cybercriminali di affittare ransomware professionali. Una volta ottenuto l’accesso iniziale (phishing, exploit, ecc.), l’affiliato si occupa dell’infezione: invia il malware, cifra i dati, mostra la nota di riscatto e negozia la somma. Intanto, lo sviluppatore riceverà la sua quota.
Il risultato? Ransomware-as-a-Service rappresenta oggi una minaccia diffusa e in rapido aumento. Comprenderne il funzionamento e difendersi adeguatamente è fondamentale per proteggere dati sensibili, proprietà intellettuali, documenti finanziari o cartelle cliniche.
Esempi di RaaS e tendenze attuali
- LockBit 2.0 – Presente dal giugno 2021, è uno dei RaaS più noti e attivi; a maggio 2022 responsabile del 46 % di tutti gli attacchi ransomware registrati da leak site.
- Black Basta – Attivo dal 2022, combina cifratura (ChaCha20 + RSA‑4096) con doppia estorsione e leak site.
- RansomHub – Suddivide i riscatti al 90 % affiliato / 10 % operatore; esclude alcune nazioni e settori (es. beneficenza).
Tabella comparativa dei principali RaaS
| RaaS | Anno di Emergenza | Tecniche di Cifratura | Tipo di Estorsione | Note principali |
|---|---|---|---|---|
| LockBit 2.0 | 2021 | AES + RSA personalizzati | Doppia estorsione | Ampia rete di affiliati, infrastruttura resiliente |
| Black Basta | 2022 | ChaCha20 + RSA-4096 | Doppia estorsione | Attacchi mirati a settori critici |
| RansomHub | 2023 | Variabile (dipende dall’affiliato) | Estorsione semplice o doppia | Alta percentuale all’affiliato, esclude settori etici |
Statistiche rilevanti sul RaaS
- Gli attacchi basati su RaaS sono aumentati del 485 % rispetto all’anno precedente.
- Il riscatto medio richiesto supera i 5,2 milioni di dollari, con un massimo record di 75 milioni in un singolo episodio.
Modelli di estorsione diffusi nel RaaS
- Doppia estorsione – Si cifrano i dati e si minaccia la pubblicazione se non si paga.
- Estorsione multipla – In aggiunta, si lanciano attacchi DDoS contro i sistemi della vittima.
- Pure extortion (encryption-less) – Nessuna cifratura: i dati vengono esfiltrati e minacciati di pubblicazione.
Difendersi dal RaaS: strategia a più livelli
Il modello RaaS mette in campo software professionale e affiliati spesso inesperti. Tuttavia, è proprio nelle misure fondamentali che si possono fermare attaccanti di basso livello:
- Autenticazione robusta (MFA, password complesse, rotazione periodica)
- Segmentazione di rete e patch management costante
- Monitoraggio continuo (IDS/IPS, SIEM, EDR/XDR)
- Backup affidabili e testati
- Formazione e consapevolezza su phishing e social engineering
In conclusione
Ransomware‑as‑a‑Service ha reso i ransomware una commodity criminale, abbattendo le barriere tecniche e trasformando la cyber‑estorsione in una minaccia globale. Chi non è preparato è vulnerabile: la difesa strutturata (defense-in-depth) resta l’unica barriera efficace.
FAQ: Domande frequenti sul Ransomware-as-a-Service
Cos’è esattamente il Ransomware-as-a-Service?
È un modello criminale in cui sviluppatori di ransomware forniscono malware già pronto a terzi, che lo utilizzano per attacchi in cambio di una percentuale sui riscatti.
Chi può diventare affiliato a un RaaS?
Chiunque, anche con basse competenze informatiche. Alcuni operatori RaaS accettano affiliati tramite semplici chat nel dark web, altri applicano criteri selettivi.
Quanto guadagna un affiliato RaaS?
Dipende dal gruppo. In media, l’affiliato può trattenere dal 70% al 90% del riscatto, mentre il resto va allo sviluppatore.
Quali sono i segnali di un’infezione da RaaS?
Nota di riscatto, cifratura improvvisa dei file, perdita d’accesso, traffico di rete anomalo verso l’esterno, e talvolta leak pubblici di dati esfiltrati.
Come ci si difende da un attacco RaaS?
Applicando strategie di cybersecurity multilivello: segmentazione di rete, autenticazione forte, backup offline, formazione del personale e strumenti di rilevamento proattivo (EDR, SIEM, IDS/IPS).
