Ransomware is skaars 'n splinternuwe bedreiging op die internet. Sy wortels gaan baie jare terug. Hierdie bedreiging het mettertyd net gevaarliker en meedoënloos geword.
Die woord “ransomware” het wydverspreide erkenning gekry as gevolg van die bombardement van kuberaanvalle wat baie besighede die afgelope jare onbruikbaar gemaak het.
Al die lêers op jou rekenaar is afgelaai en geënkripteer, en dan word jou skerm swart en 'n boodskap in struikelende Engels verskyn.
Yjy moet 'n losprys aan swarthoed-kubermisdadigers in Bitcoin of ander onopspoorbare kripto-geldeenhede betaal om 'n dekripsiesleutel te bekom of te verhoed dat jou sensitiewe data op die donker web vrygestel word.
Maar minder is dalk bewus van ransomware-as-a-Service, 'n goed georganiseerde onderwêreld-sakemodel wat hierdie tipe aanvalle (of RaaS) kan uitvoer.
In plaas daarvan om self aanvalle uit te voer, verhuur losprysware-skeppers hul duur virusse aan minder ervare kubermisdadigers wat gereed is om die risiko aan te gaan wat verband hou met die uitvoer van losprysware-bedrywighede.
Hoe werk dit egter alles? Wie lei die hiërargie en wie funksioneer as die middelmanne? En miskien meer deurslaggewend, hoe kan jy jou besigheid en jouself teen hierdie verlammende aanrandings verdedig?
Lees verder om meer oor RaaS te wete te kom.
Wat is Ransomware as a Service (RaaS)?
Ransomware-as-a-service (RaaS) is 'n kriminele onderneming se sakemodel wat enigiemand toelaat om aan te sluit en nutsmiddels te gebruik om losprysaanvalle te loods.
RaaS-gebruikers, soos diegene wat ander as-'n-diens-modelle gebruik, soos sagteware-as-'n-diens (SaaS) of platform-as-'n-diens (PaaS), huur eerder as om losprysware-dienste te besit.
Dit is 'n lae-kode, sagteware-as-'n-diens-aanvalvektor wat misdadigers in staat stel om losprysprogrammatuur op die donker web te koop en losprysaanvalle uit te voer sonder om te weet hoe om te kodeer.
E-pos-uitvissingskemas is 'n algemene aanvalvektor vir RaaS-kwesbaarhede.
Wanneer 'n slagoffer op 'n kwaadwillige skakel in die aanvaller se e-pos klik, laai die losprysware af en versprei dit oor die geaffekteerde masjien, wat brandmure en antivirusprogrammatuur deaktiveer.
Die RaaS-sagteware kan soek na maniere om voorregte te verhoog sodra die slagoffer se omtrekverdediging oortree is, en uiteindelik die hele organisasie gyselaar hou deur lêers te enkripteer tot die punt waar dit onbereikbaar is.
Sodra die slagoffer van die aanval ingelig is, sal die program aan hulle instruksies gee oor hoe om die losprys te betaal en (ideaal gesproke) die regte kriptografiese sleutel vir dekripsie te kry.
Alhoewel RaaS- en losprysware-kwesbaarhede onwettig is, kan misdadigers wat hierdie soort aanranding uitvoer veral uitdagend wees om vas te vat omdat hulle Tor-blaaiers (ook bekend as uie-routers) gebruik om toegang tot hul slagoffers te kry en bitcoin-losprysbetalings te eis.
Die FBI beweer dat meer en meer wanware-skeppers hul skadelike LCNC-programme (lae kode/geen kode) versprei in ruil vir 'n besnoeiing van die opbrengs van afpersing.
Hoe werk die RaaS-model?
Ontwikkelaars en Affiliasies werk saam om 'n effektiewe RaaS-aanval uit te voer. Ontwikkelaars is in beheer van die skryf van gespesialiseerde ransomware-wanware, wat daarna aan 'n geaffilieerde verkoop word.
Die ransomware-kode en instruksies om die aanranding te loods word deur die ontwikkelaars verskaf. RaaS is eenvoudig om te gebruik en vereis min tegnologiese kennis.
Enigiemand wat toegang tot die donker web het, kan die portaal binnegaan, as 'n geaffilieerde aansluit en aanvalle met 'n enkele klik begin. Geaffilieerdes kies die virussoort wat hulle wil versprei en maak 'n betaling met 'n kripto-geldeenheid, gewoonlik Bitcoin, om te begin.
Die ontwikkelaar en die geaffilieerde deel die verdienste wanneer die losprysgeld betaal word en die aanval suksesvol is. Die tipe inkomstemodel bepaal hoe die fondse toegewys word.
Kom ons ondersoek 'n paar van hierdie onwettige besigheidstrategieë.
Geaffilieerde RaaS
As gevolg van 'n verskeidenheid faktore, insluitend die losprysware-groep se handelsmerkbewustheid, die sukseskoerse van die veldtogte, en die kaliber en verskeidenheid van die dienste wat aangebied word, het ondergrondse geaffilieerde programme een van die bekendste vorme van RaaS geword.
Kriminele organisasies soek gereeld kuberkrakers wat op hul eie in besigheidsnetwerke kan kom om hul losprysware-kode binne die bende te handhaaf. Hulle gebruik dan die virus en bystand om die aanranding te loods.
'n Hacker het dit egter dalk nie eers nodig nie, gegewe die onlangse toename in korporatiewe netwerktoegang-te-koop op die donker web om aan hierdie kriteria te voldoen.
Goed-ondersteunde, minder ervare kuberkrakers begin hoërisiko-aanvalle in ruil vir 'n winsaandeel eerder as om 'n maandelikse of jaarlikse heffing te betaal om die losprysware-kode te gebruik (maar soms sal affiliasies dalk moet betaal om te speel).
Die meeste van die tyd soek ransomware-bendes hackers wat vaardig genoeg is om by 'n maatskappynetwerk in te breek en dapper genoeg is om die staking uit te voer.
In hierdie stelsel ontvang die geaffilieerde dikwels tussen 60% en 70% van die losprys, met die oorblywende 30% tot 40% wat na die RaaS-operateur gestuur word.
Intekening-gebaseerde RaaS
In hierdie taktiek betaal swendelaars op 'n gereelde basis 'n lidmaatskapfooi om toegang te hê tot losprysware, tegniese ondersteuning en virusopdaterings. Baie webgebaseerde intekeningdiensmodelle, soos Netflix, Spotify of Microsoft Office 365, is hiermee vergelykbaar.
Normaalweg hou losprysoortreders 100% van die inkomste uit losprysbetalings vir hulself as hulle vooraf vir die diens betaal, wat elke maand $50 tot honderde dollars kan kos, afhangend van die RaaS-verskaffer.
Hierdie ledegeld verteenwoordig 'n beskeie belegging in vergelyking met die gewone losprysbetaling van ongeveer $220,000. Natuurlik kan geaffilieerde programme ook 'n betaal-om-te-speel, intekening-gebaseerde element in hul planne insluit.
Lewenslange permit
’n Malwareprodusent kan besluit om pakkette vir ’n eenmalige betaling aan te bied en vermy die kans om direk by kuberaanvalle betrokke te wees in plaas daarvan om herhalende geld te verdien deur middel van intekeninge en winsdeling.
Kubermisdadigers betaal in hierdie geval 'n eenmalige heffing om lewenslange toegang tot 'n losprysware-stel te kry, wat hulle kan gebruik op enige manier wat hulle gepas ag.
Sommige laervlak kubermisdadigers kan 'n eenmalige aankoop kies, selfs al is dit aansienlik duurder (tienduisende dollars vir gesofistikeerde stelle) aangesien dit vir hulle moeiliker sou wees om met die RaaS-operateur te koppel indien die operateur aangekeer sou word.
RaaS vennootskappe
Kuberaanvalle wat losprysware gebruik, vereis dat elke betrokke kuberkraker 'n unieke stel vermoëns het.
In hierdie scenario sal 'n groep bymekaarkom en verskeie bydraes tot die operasie lewer. 'n Losprys-kode-ontwikkelaar, korporatiewe netwerkkrakers en 'n Engelssprekende losprysonderhandelaar word vereis om te begin.
Afhangende van hul rol en betekenis in die veldtog, sal elke deelnemer, of vennoot, instem om die verdienste te verdeel.
Hoe om 'n RaaS-aanval op te spoor?
Tipies is daar geen ransomware-aanrandingsbeskerming wat 100% effektief is nie. Uitvissing-e-posse bly egter die primêre metode wat gebruik word om losprysware-aanrandings uit te voer.
Daarom moet 'n maatskappy uitvissing-bewustheidsopleiding verskaf om te verseker dat personeellede die beste moontlike begrip het van hoe om uitvissing-e-posse raak te sien.
Op 'n tegniese vlak kan besighede 'n gespesialiseerde kuberveiligheidspan hê wat getaak is om bedreigingjag te doen. Bedreigingjag is 'n baie suksesvolle metode om losprysware-aanrandings op te spoor en te voorkom.
'n Teorie word in hierdie proses geskep deur die inligting oor aanrandingsvektore te gebruik. Die vermoede en data help met die skep van 'n program wat vinnig die oorsaak van die aanranding kan identifiseer en dit kan stop.
Om 'n oog uit te hou vir onverwagte lêeruitvoerings, verdagte gedrag, ensovoorts op die netwerk, word dreigementsoekinstrumente gebruik. Om poging tot losprysaanvalle te identifiseer, maak hulle gebruik van die horlosie vir Indicators of Compromise (IOCs).
Daarbenewens word baie situasionele bedreigingjagmodelle gebruik, wat elkeen aangepas is vir die teikenorganisasie se bedryf.
Voorbeelde van RaaS
Skrywers van losprysware het pas besef hoe winsgewend dit is om 'n RaaS-onderneming te bou. Boonop was daar verskeie bedreigingsorganisasies wat RaaS-bedrywighede gevestig het om losprysware deur byna elke besigheid te versprei. Hierdie is 'n paar van die RaaS-organisasies:
- Darkside: Dit is een van die mees berugte RaaS-verskaffers. Volgens berigte was hierdie bende agter die aanval op die Koloniale Pyplyn in Mei 2021. DarkSide het glo in Augustus 2020 begin en het 'n hoogtepunt bereik in aktiwiteit gedurende die eerste paar maande van 2021.
- Dharma: Dharma Ransomware het oorspronklik in 2016 onder die naam CrySis verskyn. Alhoewel daar verskeie Dharma Ransomware-variasies deur die jare was, het Dharma die eerste keer in 'n RaaS-formaat in 2020 verskyn.
- Maze: Soos met baie ander RaaS-verskaffers, het Maze in 2019 debuteer. Benewens die enkripteer van gebruikersdata, het die RaaS-organisasie gedreig om data in die openbaar vry te stel in 'n poging om slagoffers te verneder. Die Maze RaaS het in November 2020 formeel gesluit, al is die redes hiervoor nog ietwat vaag. Sommige akademici glo egter dat dieselfde oortreders onder verskeie name, soos Egregor, volgehou het.
- DoppelPaymer: Dit is verbind met 'n aantal gebeurtenisse, insluitend een in 2020 teen 'n hospitaal in Duitsland wat die lewe van 'n pasiënt geëis het.
- Ryuk: Alhoewel die RaaS in 2019 meer aktief was, word geglo dat dit ten minste in 2017 bestaan het. Baie sekuriteitsmaatskappye, insluitend CrowdStrike en FireEye, het aansprake wat deur sekere navorsers gemaak is dat die uitrusting in Noord-Korea geleë is, ontken.
- LockBit: As die lêeruitbreiding, gebruik die organisasie om slagofferlêers te enkripteer, ".abcd virus," het die eerste keer in September 2019 verskyn. Die kapasiteit van LockBit om outonoom oor 'n teikennetwerk te versprei is een van sy kenmerke. Vir voornemende aanvallers maak dit dit 'n gewenste RaaS.
- ERWEL: Alhoewel daar verskeie RaaS-verskaffers is, was dit die algemeenste in 2021. Die Kaseya-aanranding, wat in Julie 2021 plaasgevind het en 'n impak op minstens 1,500 2021 maatskappye gehad het, was gekoppel aan die REvil RaaS. Die organisasie was ook vermoedelik agter die aanval in Junie 11 op die vleisvervaardiger JBS USA, waarvoor die slagoffer 'n losprys van $2021 miljoen moes betaal. Daar is ook bevind dat dit verantwoordelik is vir 'n losprysware-aanval op die kuberversekeringsverskaffer CNA Financial in Maart XNUMX.
Hoe om RaaS-aanvalle te voorkom?
RaaS-krakers gebruik die meeste gesofistikeerde spiesvissing-e-posse wat kundig geskep is om outentiek te lyk om wanware te versprei. 'n Soliede risikobestuursbenadering wat deurlopende sekuriteitsbewusmakingsopleiding vir eindgebruikers ondersteun, is nodig om teen RaaS-uitbuiting te beskerm.
Die eerste en beste beskerming is om 'n besigheidskultuur te skep wat eindgebruikers inlig oor die mees onlangse uitvissingstegnieke en die gevare wat losprysware-aanvalle vir hul finansies en reputasies inhou. Inisiatiewe in hierdie verband sluit in:
- Sagteware-opgraderings: Bedryfstelsels en toepassings word gereeld deur losprysware uitgebuit. Om losprysware-aanvalle te help stop, is dit belangrik om die sagteware op te dateer wanneer pleisters en opdaterings vrygestel word.
- Maak versigtig om jou data te rugsteun en te herstel: Die vestiging van 'n data-rugsteun- en herstelstrategie is die eerste en, waarskynlik, belangrikste stap. Data word onbruikbaar vir gebruikers na enkripsie deur ransomware. Die impak van data-enkripsie deur 'n aanvaller kan verminder word as 'n maatskappy huidige rugsteun het wat in 'n herstelprosedure gebruik kan word.
- Voorkoming van uitvissing: Uitvissing deur e-posse is 'n tipiese metode van aanval vir losprysware. RaaS-aanvalle kan voorkom word as daar 'n soort anti-phishing-e-posbeskerming in plek is.
- Meervoudige-faktor-verifikasie: Sommige ransomware-aanvallers gebruik geloofsbriewe, wat die gebruik van gesteelde wagwoorde van een webwerf op 'n ander behels. Omdat 'n tweede faktor steeds nodig is om toegang te kry, verminder multifaktor-verifikasie die impak van 'n enkele wagwoord wat oorgebruik word.
- Sekuriteit vir XDR-eindpunte: Eindpuntsekuriteit en bedreigingjagtegnologieë, soos XDR, bied 'n bykomende deurslaggewende laag van verdediging teen losprysware. Dit bied verbeterde opsporing- en reaksievermoëns wat help om die gevaar van losprysware te verminder.
- DNS-beperking: Ransomware gebruik gereeld 'n soort opdrag-en-beheer (C2)-bediener om met die platform van 'n RaaS-operateur te koppel. 'n DNS-navraag is byna altyd betrokke by kommunikasie vanaf 'n besmette masjien na die C2-bediener. Organisasies kan herken wanneer ransomware probeer om met die RaaS C2 te kommunikeer en die kommunikasie te voorkom met behulp van 'n DNS-filter sekuriteitsoplossing. Dit kan dien as 'n tipe infeksie voorkoming.
Toekoms van RaaS
RaaS-aanrandings sal in die toekoms meer algemeen en gewild onder kuberkrakers word. Meer as 60% van alle kuberaanvalle die afgelope 18 maande was volgens 'n onlangse verslag RaaS-gegrond.
RaaS word al hoe meer gewild as gevolg van hoe eenvoudig dit is om te gebruik en die feit dat geen tegniese kennis nodig is nie. Boonop moet ons voorberei vir 'n toename in RaaS-aanvalle wat noodsaaklike infrastruktuur teiken.
Dit dek die velde van gesondheidsorg, administrasie, vervoer en energie. Kuberkrakers beskou hierdie deurslaggewende nywerhede en instellings as meer blootgestel as ooit, wat entiteite soos hospitale en kragsentrales in die visier van RaaS-aanvalle plaas as ketting kwessies duur voort tot 2022.
Gevolgtrekking
Ten slotte, selfs al is Ransomware-as-a-Service (RaaS) 'n skepping en een van die mees onlangse gevare om digitale gebruikers te prooi, is dit van kardinale belang om sekere voorkomende maatreëls te tref om hierdie bedreiging te bekamp.
Benewens ander fundamentele sekuriteitsmaatreëls, kan u ook staatmaak op die nuutste antimalware-nutsgoed om u verder teen hierdie bedreiging te beskerm. Ongelukkig lyk dit of RaaS vir eers hier is om te bly.
Jy sal 'n omvattende tegnologie- en kuberveiligheidsplan nodig hê om teen RaaS-aanvalle te beskerm om die waarskynlikheid van 'n suksesvolle RaaS-aanval te verminder.
Lewer Kommentaar