Праграмы-вымагальнікі наўрад ці з'яўляюцца новай пагрозай у Інтэрнэце. Яе карані сыходзяць у даўніну. Гэтая пагроза з цягам часу становіцца толькі больш небяспечнай і бязлітаснай.
Слова «праграма-вымагальнік» атрымала шырокае прызнанне ў выніку кібератак, якія за апошнія гады зрабілі многія прадпрыемствы непрыдатнымі.
Усе файлы на вашым кампутары былі спампаваны і зашыфраваны, а потым ваш экран становіцца чорным і з'яўляецца паведамленне на англійскай мове, якое спатыкаецца.
Yвы павінны заплаціць выкуп чорным кіберзлачынцам у біткойнах або іншых крыптавалютах, якія немагчыма прасачыць, каб атрымаць ключ дэшыфравання або прадухіліць апублікаванне вашых канфідэнцыяльных даных у цёмным сеціве.
Але менш людзей могуць ведаць пра праграму-вымагальнік як паслугу, добра арганізаваную бізнес-мадэль злачыннага свету, якая можа выконваць такія тыпы нападаў (або RaaS).
Замест таго, каб самастойна праводзіць атакі, стваральнікі праграм-вымагальнікаў здаюць свае дарагія вірусы ў арэнду менш дасведчаным кібер-злачынцам, якія гатовыя ўзяць на сябе рызыку, звязаную з правядзеннем аперацый з праграмамі-вымагальнікамі.
Але як гэта ўсё працуе? Хто ўзначальвае іерархію, а хто выконвае ролю пасярэднікаў? І, магчыма, яшчэ больш важна, як вы можаце абараніць свой бізнес і сябе ад гэтых паралізуючых нападаў?
Працягвайце чытаць, каб даведацца больш пра RaaS.
Што такое праграма-вымагальнік як паслуга (RaaS)?
Праграмы-вымагальнікі як паслуга (RaaS) - гэта бізнес-мадэль злачыннага прадпрыемства, якая дазваляе любому далучыцца і выкарыстоўваць інструменты для атак праграм-вымагальнікаў.
Карыстальнікі RaaS, як і тыя, хто выкарыстоўвае іншыя мадэлі паслугі, такія як праграмнае забеспячэнне як паслуга (SaaS) або платформа як паслуга (PaaS), арандуюць, а не валодаюць паслугамі вымагальнікаў.
Гэта вектар атакі праграмнага забеспячэння як паслугі з нізкім кодам, які дазваляе злачынцам купляць праграмнае забеспячэнне-вымагальнік у цёмным сеціве і здзяйсняць атакі праграм-вымагальнікаў, не ведаючы, як кадзіраваць.
Схемы фішынгу па электроннай пошце з'яўляюцца распаўсюджаным вектарам нападаў на ўразлівасці RaaS.
Калі ахвяра націскае на шкоднасную спасылку ў электронным лісце зламысніка, праграма-вымагальнік спампоўваецца і распаўсюджваецца па заражанай машыне, адключаючы брандмаўэры і антывіруснае праграмнае забеспячэнне.
Праграмнае забеспячэнне RaaS можа шукаць спосабы павысіць прывілеі пасля таго, як абарона перыметра ахвяры была парушана, і ў канчатковым выніку трымаць у закладніках усю арганізацыю, шыфруючы файлы да такой ступені, што яны становяцца недасяжнымі.
Пасля таго, як ахвяра будзе праінфармавана аб нападзе, праграма дасць ёй інструкцыі аб тым, як заплаціць выкуп і (у ідэале) атрымаць правільны крыптаграфічны ключ для дэшыфравання.
Нягледзячы на тое, што ўразлівасці RaaS і праграм-вымагальнікаў з'яўляюцца незаконнымі, злачынцаў, якія здзяйсняюць такі напад, можа быць асабліва складана затрымаць, таму што яны выкарыстоўваюць браўзеры Tor (таксама вядомыя як цыбульныя маршрутызатары) для доступу да сваіх ахвяр і патрабавання выплаты выкупу ў біткойнах.
ФБР сцвярджае, што ўсё больш і больш стваральнікаў шкоднасных праграм распаўсюджваюць свае шкодныя праграмы LCNC (нізкі код/без кода) у абмен на скарачэнне даходаў ад вымагальніцтва.
Як працуе мадэль RaaS?
Распрацоўшчыкі і філіялы супрацоўнічаюць для правядзення эфектыўнай RaaS-атакі. Распрацоўшчыкі адказваюць за напісанне спецыялізаваных шкоднасных праграм-вымагальнікаў, якія потым прадаюцца філіялам.
Код праграмы-вымагальніка і інструкцыі па запуску штурму прадастаўлены распрацоўшчыкамі. RaaS просты ў выкарыстанні і патрабуе невялікіх тэхналагічных ведаў.
Любы, хто мае доступ да цёмнай сеткі, можа зайсці на партал, далучыцца ў якасці філіяла і распачаць напады адным пстрычкай мышы. Партнёры выбіраюць тып віруса, які яны жадаюць распаўсюджваць, і для пачатку робяць плацёж з дапамогай крыптавалюты, звычайна біткойна.
Распрацоўшчык і афіляваная асоба дзеляць прыбытак, калі выкуп выплачаны і атака паспяховая. Тып мадэлі даходаў вызначае спосаб размеркавання сродкаў.
Давайце разгледзім некаторыя з гэтых незаконных бізнес-стратэгій.
Партнёр RaaS
Дзякуючы розным фактарам, у тым ліку пазнавальнасці брэнда групы праграм-вымагальнікаў, паспяховасці кампаній, а таксама маштабу і разнастайнасці прапанаваных паслуг, падпольныя партнёрскія праграмы сталі адной з самых вядомых форм RaaS.
Злачынныя арганізацыі часта шукаюць хакераў, якія могуць самастойна пранікнуць у бізнес-сеткі, каб захаваць свой код вымагальнікаў у бандзе. Затым яны выкарыстоўваюць вірус і дапамогу для пачатку нападу.
Тым не менш, хакеру можа нават не спатрэбіцца гэта, улічваючы нядаўні рост карпаратыўнай сеткі доступу для продажу ў цёмным сеціве, каб задаволіць гэтыя крытэрыі.
Менш дасведчаныя хакеры, якія маюць добрую падтрымку, здзяйсняюць высокарызыкоўныя напады ў абмен на долю прыбытку, а не плацяць штомесячную або штогадовую плату за выкарыстанне кода вымагальнікаў (але часам філіялам можа давядзецца плаціць, каб гуляць).
Часцей за ўсё банды праграм-вымагальнікаў шукаюць хакераў, якія валодаюць дастатковай кваліфікацыяй, каб узламаць сетку кампаніі, і дастаткова смелымі, каб нанесці ўдар.
У гэтай сістэме партнёр часта атрымлівае ад 60% да 70% выкупу, а астатнія ад 30% да 40% адпраўляюцца аператару RaaS.
RaaS на аснове падпіскі
У гэтай тактыцы ашуканцы рэгулярна плацяць членскія ўзносы, каб мець доступ да праграм-вымагальнікаў, тэхнічнай падтрымкі і абнаўленняў вірусаў. Многія вэб-мадэлі паслуг падпіскі, такія як Netflix, Spotify або Microsoft Office 365, можна параўнаць з гэтым.
Звычайна злачынцы-вымагальнікі пакідаюць сабе 100% даходу ад выплаты выкупу, калі яны плацяць за паслугу загадзя, што можа каштаваць ад 50 да сотняў долараў кожны месяц у залежнасці ад пастаўшчыка RaaS.
Гэтыя членскія ўзносы ўяўляюць сабой сціплыя інвестыцыі ў параўнанні са звычайнай выплатай выкупу ў памеры каля 220,000 XNUMX долараў. Вядома, партнёрскія праграмы таксама могуць уключаць у свае планы элемент аплаты за гульню, заснаваны на падпісцы.
Пажыццёвы дазвол
Вытворца шкоднасных праграм можа вырашыць прапанаваць пакеты за аднаразовую аплату і не рызыкаваць непасрэдным удзелам у кібератаках замест таго, каб зарабляць перыядычныя грошы праз падпіску і размеркаванне прыбытку.
У гэтым выпадку кіберзлачынцы плацяць аднаразовую плату, каб атрымаць пажыццёвы доступ да камплекта праграм-вымагальнікаў, які яны могуць выкарыстоўваць любым спосабам, які яны лічаць патрэбным.
Некаторыя кіберзлачынцы ніжэйшага ўзроўню могуць выбраць аднаразовую пакупку, нават калі яна значна даражэйшая (дзясяткі тысяч долараў за складаныя камплекты), паколькі ім будзе цяжэй падключыцца да аператара RaaS, калі аператара затрымаюць.
Партнёрства RaaS
Кібератакі з выкарыстаннем праграм-вымагальнікаў патрабуюць, каб кожны задзейнічаны хакер меў унікальны набор здольнасцей.
У гэтым сцэнары група збіралася б і ўносіла розныя ўклады ў аперацыю. Для пачатку патрабуюцца распрацоўшчык кода праграм-вымагальнікаў, хакеры карпаратыўнай сеткі і англамоўны ўдзельнік перамоў аб выкупе.
У залежнасці ад ролі і значнасці ў кампаніі, кожны ўдзельнік або партнёр пагаджаецца падзяліць заробак.
Як выявіць атаку RaaS?
Як правіла, не існуе 100% эфектыўнай абароны ад праграм-вымагальнікаў. Тым не менш, фішынгавыя лісты застаюцца асноўным метадам, які выкарыстоўваецца для ажыццяўлення нападаў праграм-вымагальнікаў.
Такім чынам, кампанія павінна правесці навучанне па інфармаванасці аб фішынгу, каб пераканацца, што супрацоўнікі лепш разумеюць, як выяўляць фішынгавыя электронныя лісты.
На тэхнічным узроўні прадпрыемствы могуць мець спецыялізаваную каманду па кібербяспецы, якой даручана паляваць на пагрозы. Паляванне за пагрозамі - вельмі паспяховы метад выяўлення і прадухілення нападаў праграм-вымагальнікаў.
У гэтым працэсе ствараецца тэорыя з выкарыстаннем інфармацыі аб вектарах нападу. Прадчуванне і дадзеныя дапамагаюць у стварэнні праграмы, якая можа хутка вызначыць прычыну нападу і спыніць яго.
Каб сачыць за нечаканымі выкананнямі файлаў, падазронымі паводзінамі і г.д. у сетцы, выкарыстоўваюцца інструменты пошуку пагроз. Для ідэнтыфікацыі спробаў нападаў праграм-вымагальнікаў яны выкарыстоўваюць гадзіннік індыкатараў узлому (IOC).
Акрамя таго, выкарыстоўваецца шмат сітуацыйных мадэляў палявання на пагрозы, кожная з якіх адаптавана да галіны мэтавай арганізацыі.
Прыклады RaaS
Аўтары праграм-вымагальнікаў толькі што ўсвядомілі, наколькі выгадна будаваць бізнес RaaS. Акрамя таго, існуе некалькі арганізацый-акцёраў пагроз, якія ўсталёўваюць аперацыі RaaS для распаўсюджвання праграм-вымагальнікаў амаль ва ўсіх прадпрыемствах. Вось некалькі арганізацый RaaS:
- DarkSide: Гэта адзін з самых сумна вядомых пастаўшчыкоў RaaS. Паводле паведамленняў, гэтая банда стаяла за атакай на Colonial Pipeline у траўні 2021 года. Мяркуецца, што DarkSide пачала сваю дзейнасць у жніўні 2020 года і дасягнула піка актыўнасці ў першыя некалькі месяцаў 2021 года.
- Дхарма: Dharma Ransomware першапачаткова з'явілася ў 2016 годзе пад назвай CrySis. Хаця на працягу многіх гадоў было некалькі варыянтаў Dharma Ransomware, Dharma ўпершыню з'явілася ў фармаце RaaS у 2020 годзе.
- Лабірынт: Як і ў многіх іншых пастаўшчыкоў RaaS, Maze дэбютаваў у 2019 годзе. У дадатак да шыфравання карыстальніцкіх даных, арганізацыя RaaS пагражала апублікаваць даныя публічна, каб прынізіць ахвяр. Maze RaaS афіцыйна спыніў працу ў лістападзе 2020 года, хаця прычыны гэтага ўсё яшчэ некалькі туманныя. Аднак некаторыя акадэмікі лічаць, што адны і тыя ж правапарушальнікі захоўваюцца пад рознымі імёнамі, напрыклад, Эгрэгар.
- ДоппельПэймер: Гэта было звязана з шэрагам падзей, у тым ліку з адной у 2020 годзе супраць бальніцы ў Германіі, якая забрала жыццё пацыента.
- Рюк: Нягледзячы на тое, што RaaS быў больш актыўны ў 2019 годзе, мяркуецца, што ён існаваў прынамсі ў 2017 годзе. Многія ахоўныя кампаніі, у тым ліку CrowdStrike і FireEye, абверглі заявы некаторых даследчыкаў аб тым, што ўбор знаходзіцца ў Паўночнай Карэі.
- LockBit: У якасці пашырэння файла, якое арганізацыя выкарыстоўвае для шыфравання файлаў-ахвяр, «.abcd virus», упершыню з'явіўся ў верасні 2019 г. Здольнасць LockBit аўтаномна распаўсюджвацца па мэтавай сетцы з'яўляецца адной з яго функцый. Для патэнцыйных зламыснікаў гэта робіць яго жаданым RaaS.
- Злаба: Нягледзячы на тое, што існуе некалькі пастаўшчыкоў RaaS, гэта было найбольш распаўсюджаным у 2021 годзе. Напад Kaseya, які адбыўся ў ліпені 2021 года і паўплываў як мінімум на 1,500 кампаній, быў звязаны з REvil RaaS. Мяркуецца, што арганізацыя таксама стаіць за нападам на вытворцу мяса JBS USA у чэрвені 2021 года, за які ахвяра павінна была заплаціць выкуп у 11 мільёнаў долараў. Ён таксама быў прызнаны адказным за напад праграм-вымагальнікаў на пастаўшчыка кіберстрахавання CNA Financial у сакавіку 2021 года.
Як прадухіліць атакі RaaS?
Хакеры RaaS часцей за ўсё выкарыстоўваюць складаныя фішынгавыя электронныя лісты, створаныя спецыялістам, каб яны здаваліся сапраўднымі для распаўсюджвання шкоднасных праграм. Каб абараніць ад эксплойтаў RaaS, неабходны надзейны падыход да кіравання рызыкамі, які падтрымлівае пастаяннае навучанне канчатковых карыстальнікаў па павышэнню дасведчанасці аб бяспецы.
Першая і лепшая абарона - гэта стварэнне дзелавой культуры, якая інфармуе канчатковых карыстальнікаў аб апошніх метадах фішынгу і небяспецы, якую ўяўляюць атакі праграм-вымагальнікаў для іх фінансаў і рэпутацыі. Ініцыятывы ў гэтай сувязі ўключаюць:
- абнаўленне праграмнага забеспячэння: Аперацыйныя сістэмы і праграмы часта выкарыстоўваюцца праграмамі-вымагальнікамі. Каб спыніць атакі праграм-вымагальнікаў, важна абнаўляць праграмнае забеспячэнне пасля выхаду патчаў і абнаўленняў.
- Будзьце ўважлівыя да рэзервовага капіравання і аднаўлення дадзеных: Стварэнне стратэгіі рэзервовага капіравання і аднаўлення даных - гэта першы і, напэўна, самы важны крок. Даныя становяцца непрыдатнымі для карыстальнікаў пасля шыфравання праграмамі-вымагальнікамі. Уплыў шыфравання даных зламыснікам можа быць зменшаны, калі ў кампаніі ёсць бягучыя рэзервовыя копіі, якія можна выкарыстоўваць у працэдуры аднаўлення.
- Прадухіленне фішынгу: Фішынг праз электронную пошту - тыповы метад атакі праграм-вымагальнікаў. Атакі RaaS можна прадухіліць, калі ёсць нейкая абарона электроннай пошты ад фішынгу.
- Шматфактарная аўтэнтыфікацыя: Некаторыя зламыснікі вымагальнікаў выкарыстоўваюць уліковыя даныя, што прадугледжвае выкарыстанне выкрадзеных пароляў з аднаго сайта на іншы. Паколькі для атрымання доступу па-ранейшаму патрабуецца другі фактар, шматфактарная аўтэнтыфікацыя памяншае ўплыў празмернага выкарыстання аднаго пароля.
- Бяспека канчатковых кропак XDR: Тэхналогіі бяспекі канчатковых кропак і палявання на пагрозы, такія як XDR, прапануюць дадатковы важны ўзровень абароны ад праграм-вымагальнікаў. Гэта прапануе пашыраныя магчымасці выяўлення і рэагавання, якія дапамагаюць знізіць небяспеку праграм-вымагальнікаў.
- Абмежаванне DNS: Праграмы-вымагальнікі часта выкарыстоўваюць нейкі сервер камандавання і кіравання (C2) для ўзаемадзеяння з платформай аператара RaaS. DNS-запыт амаль заўсёды ўдзельнічае ў сувязі ад заражанай машыны да сервера C2. Арганізацыі могуць распазнаць, калі праграмы-вымагальнікі спрабуюць узаемадзейнічаць з RaaS C2, і прадухіліць сувязь з дапамогай рашэння бяспекі фільтрацыі DNS. Гэта можа дзейнічаць як тып прафілактыкі інфекцыі.
Будучыня RaaS
У будучыні напады RaaS стануць больш распаўсюджанымі і папулярнымі сярод хакераў. Паводле апошняй справаздачы, больш за 60% усіх кібератак за апошнія 18 месяцаў былі заснаваныя на RaaS.
RaaS становіцца ўсё больш папулярным у выніку таго, наколькі просты ў выкарыстанні і таму, што не патрабуецца ніякіх тэхнічных ведаў. Акрамя таго, мы павінны падрыхтавацца да павелічэння нападаў RaaS, накіраваных на жыццёва важную інфраструктуру.
Гэта ахоплівае сферы аховы здароўя, кіравання, транспарту і энергетыкі. Хакеры лічаць гэтыя найважнейшыя галіны і ўстановы больш схільнымі, чым калі-небудзь, ставячы такія арганізацыі, як бальніцы і электрастанцыі, у поле зроку нападаў RaaS як ланцуг паставак выпускі працягваюцца да 2022 года.
заключэнне
У заключэнне, нават калі праграма-вымагальнік як паслуга (RaaS) з'яўляецца стварэннем і з'яўляецца адной з апошніх небяспек для лічбавых карыстальнікаў, вельмі важна прыняць пэўныя прэвентыўныя меры для барацьбы з гэтай пагрозай.
У дадатак да іншых асноўных мер бяспекі, вы таксама можаце разлічваць на перадавыя сродкі барацьбы са шкоднаснымі праграмамі, каб дадаткова абараніць вас ад гэтай пагрозы. На жаль, здаецца, што RaaS пакуль застаецца тут.
Вам спатрэбіцца ўсёабдымны план тэхналогій і кібербяспекі для абароны ад нападаў RaaS, каб знізіць верагоднасць паспяховага нападу RaaS.
Пакінуць каментар