Ransomware teško da je potpuno nova prijetnja na internetu. Njegovi korijeni sežu mnogo godina unazad. Ova prijetnja je vremenom postajala sve opasnija i nemilosrdnija.
Riječ "ransomware" stekla je široko priznanje kao rezultat bombardiranja sajber napada koji su mnoga poduzeća posljednjih godina učinili neupotrebljivim.
Sve datoteke na vašem računaru su preuzete i šifrovane, a onda vam ekran postaje crn i pojavljuje se poruka na engleskom jeziku koji je posrnuo.
Ymorate platiti otkup kibernetičkim kriminalcima crnih šešira u Bitcoinu ili drugim kriptovalutama kojima se ne može ući u trag kako biste dobili ključ za dešifriranje ili spriječili objavljivanje vaših osjetljivih podataka na mračnom webu.
Ali manje njih je možda svjesno ransomware-as-a-Service, dobro organiziranog poslovnog modela podzemlja koji može izvršiti ove vrste napada (ili RaaS).
Umjesto da sami sprovode napade, kreatori ransomwarea iznajmljuju svoje skupe viruse manje iskusnim sajber kriminalcima koji su spremni preuzeti rizik povezan s provođenjem ransomware operacija.
Međutim, kako sve to funkcionira? Ko vodi hijerarhiju, a ko funkcioniše kao posrednici? I možda još važnije, kako možete odbraniti svoj posao i sebe od ovih osakaćenih napada?
Nastavite čitati kako biste saznali više o RaaS-u.
Šta je Ransomware kao usluga (RaaS)?
Ransomware-as-a-service (RaaS) je poslovni model kriminalnog poduzeća koji omogućava svima da se pridruže i koriste alate za pokretanje ransomware napada.
Korisnici RaaS-a, poput onih koji koriste druge modele kao-usluga, kao što su softver-kao-usluga (SaaS) ili platforma-kao-usluga (PaaS), iznajmljuju, a ne posjeduju usluge ransomware-a.
To je vektor napada softvera kao usluge s niskim kodom koji omogućava kriminalcima da kupuju ransomware softver na mračnom webu i izvode ransomware napade bez znanja kako da kodiraju.
Šeme za krađu identiteta e-pošte uobičajeni su vektor napada za RaaS ranjivosti.
Kada žrtva klikne na zlonamjernu vezu u e-pošti napadača, ransomware se preuzima i širi po zahvaćenom stroju, onemogućujući firewall i antivirusni softver.
RaaS softver može tražiti načine za podizanje privilegija nakon što je odbrana perimetra žrtve probijena, i na kraju držati cijelu organizaciju kao taoca šifriranjem datoteka do tačke gdje su nedostupne.
Nakon što žrtva bude obaviještena o napadu, program će joj dati upute o tome kako platiti otkupninu i (idealno) dobiti pravi kriptografski ključ za dešifriranje.
Iako su ranjivosti RaaS-a i ransomware-a nezakoniti, kriminalci koji izvode ovu vrstu napada mogu biti posebno izazovni za hapšenje jer koriste Tor pretraživače (također poznate kao onion ruteri) da pristupe svojim žrtvama i traže plaćanje otkupnine za bitcoin.
FBI tvrdi da sve više kreatora zlonamjernog softvera širi svoje štetne LCNC (low code/no code) programe u zamjenu za smanjenje prihoda od iznude.
Kako funkcioniše RaaS model?
Programeri i podružnice sarađuju kako bi izveli efikasan RaaS napad. Programeri su zaduženi za pisanje specijalizovanog ransomware zlonamjernog softvera, koji se nakon toga prodaje podružnici.
ransomware kod i uputstva za pokretanje napada dali su programeri. RaaS je jednostavan za korištenje i zahtijeva malo tehnološkog znanja.
Svako ko ima pristup dark webu može ući na portal, pridružiti se kao pridruženi partner i pokrenuti napade jednim klikom. Povezane kompanije biraju vrstu virusa koju žele distribuirati i za početak plaćaju pomoću kriptovalute, obično Bitcoina.
Programer i podružnica dijele zaradu kada se novac od otkupnine isplati i napad je uspješan. Tip modela prihoda određuje kako se sredstva raspoređuju.
Hajde da ispitamo neke od ovih nezakonitih poslovnih strategija.
Affiliate RaaS
Zbog niza faktora, uključujući svijest o brendu grupe ransomware, stope uspjeha kampanja, te kalibar i raznolikost ponuđenih usluga, podzemni partnerski programi postali su jedan od najpoznatijih oblika RaaS-a.
Kriminalne organizacije često traže hakere koji mogu sami ući u poslovne mreže kako bi zadržali svoj ransomware kod unutar bande. Zatim koriste virus i pomoć da pokrenu napad.
Međutim, hakeru to možda neće ni trebati s obzirom na nedavni porast korporativne mreže pristupa za prodaju na mračnom webu da bi zadovoljio ove kriterije.
Dobro podržani, manje iskusni hakeri pokreću visokorizične napade u zamjenu za udio u profitu umjesto da plaćaju mjesečnu ili godišnju naknadu za korištenje ransomware koda (ali povremeno će partneri možda morati platiti za igru).
Većinu vremena, ransomware bande traže hakere koji su dovoljno vješti da probiju u mrežu kompanije i dovoljno hrabri da izvrše napad.
U ovom sistemu, podružnica često prima između 60% i 70% otkupnine, a preostalih 30% do 40% se šalje RaaS operateru.
RaaS zasnovan na pretplati
U ovoj taktici, prevaranti redovno plaćaju članarinu kako bi imali pristup ransomwareu, tehničkoj podršci i ažuriranjima virusa. Mnogi modeli usluga pretplate zasnovani na webu, kao što su Netflix, Spotify ili Microsoft Office 365, uporedivi su s ovim.
Obično prekršioci ransomware-a zadržavaju 100% prihoda od plaćanja otkupnine za sebe ako unaprijed plate uslugu, što bi moglo koštati od 50 do stotine dolara svakog mjeseca, ovisno o RaaS dobavljaču.
Ove članarine predstavljaju skromnu investiciju u poređenju sa uobičajenom isplatom otkupnine od oko 220,000 dolara. Naravno, pridruženi programi također mogu uključiti u svoje planove element koji se temelji na plaćanju za igru.
Doživotna dozvola
Proizvođač zlonamjernog softvera može odlučiti ponuditi pakete za jednokratno plaćanje i izbjeći rizik da bude direktno uključen u sajber napade umjesto da zarađuje novac koji se ponavlja putem pretplata i dijeljenja dobiti.
Sajber kriminalci u ovom slučaju plaćaju jednokratnu naknadu da bi dobili doživotni pristup kompletu ransomware-a, koji mogu koristiti na bilo koji način koji smatraju prikladnim.
Neki sajber kriminalci nižeg nivoa mogli bi izabrati jednokratnu kupovinu čak i ako je znatno skuplja (desetine hiljada dolara za sofisticirane komplete) jer bi im bilo teže da se povežu sa RaaS operaterom ako operater bude uhapšen.
RaaS partnerstva
Cyber napadi koji koriste ransomware zahtijevaju da svaki uključeni haker ima jedinstven skup sposobnosti.
U ovom scenariju, grupa bi se okupila i pružila različite doprinose operaciji. Za početak su potrebni programer ransomware koda, hakeri korporativne mreže i pregovarač o otkupnini koji govori engleski.
U zavisnosti od uloge i značaja u kampanji, svaki učesnik, odnosno partner, bi se složio da podeli zaradu.
Kako otkriti RaaS napad?
Tipično, ne postoji zaštita od ransomware napada koja je 100% efikasna. Međutim, phishing e-poruke ostaju primarna metoda koja se koristi za izvođenje ransomware napada.
Stoga, kompanija mora obezbijediti obuku za podizanje svijesti o phishing-u kako bi osigurala da članovi osoblja imaju najbolje moguće razumijevanje kako uočiti phishing e-poruke.
Na tehničkom nivou, preduzeća mogu imati specijalizovani tim za sajber bezbednost koji je zadužen za lov na pretnje. Lov na prijetnje je vrlo uspješna metoda za otkrivanje i sprječavanje napada ransomware-a.
U ovom procesu se stvara teorija koristeći informacije o vektorima napada. Slutnja i podaci pomažu u kreiranju programa koji može brzo identificirati uzrok napada i zaustaviti ga.
Da biste pazili na neočekivana izvršenja datoteka, sumnjivo ponašanje itd. na mreži, koriste se alati za traženje prijetnji. Da bi identificirali pokušaje napada ransomware-a, oni koriste sat za indikatore kompromitacije (IOC).
Osim toga, koriste se mnogi modeli situacijske prijetnje, od kojih je svaki prilagođen industriji ciljne organizacije.
Primjeri RaaS-a
Autori ransomware-a su upravo shvatili koliko je isplativo izgraditi RaaS posao. Osim toga, postojalo je nekoliko organizacija aktera prijetnji koje su uspostavile RaaS operacije za propagiranje ransomware-a u gotovo svakom poslu. Ovo su neke od RaaS organizacija:
- Tamna strana: To je jedan od najozloglašenijih RaaS provajdera. Prema izvještajima, ova banda je stajala iza napada na Colonial Pipeline u maju 2021. Vjeruje se da je DarkSide započeo u avgustu 2020. i da je dostigao vrhunac aktivnosti tokom prvih nekoliko mjeseci 2021. godine.
- dharma: Dharma Ransomware prvobitno se pojavio 2016. pod imenom CrySis. Iako je tokom godina bilo nekoliko varijacija Dharma Ransomwarea, Dharma se prvi put pojavila u RaaS formatu 2020.
- lavirint: Kao i kod mnogih drugih RaaS provajdera, Maze je debitovao 2019. Osim šifriranja korisničkih podataka, RaaS organizacija je prijetila da će javno objaviti podatke u pokušaju da ponizi žrtve. Maze RaaS je formalno zatvoren u novembru 2020., iako su razlozi za to još uvijek pomalo magloviti. Neki akademici, međutim, vjeruju da su isti prestupnici opstajali pod različitim imenima, poput Egregora.
- DoppelPaymer: Povezan je sa brojnim događajima, uključujući onaj 2020. godine protiv bolnice u Njemačkoj koja je odnijela život jednog pacijenta.
- ryuk: Iako je RaaS bio aktivniji 2019. godine, vjeruje se da je postojao barem 2017. Mnoge sigurnosne kompanije, uključujući CrowdStrike i FireEye, negirale su tvrdnje određenih istraživača da se odjeća nalazi u Sjevernoj Koreji.
- LockBit: Kao ekstenziju datoteke, organizacija koristi za šifriranje datoteka žrtava, ".abcd virus", prvi put se pojavio u septembru 2019. Kapacitet LockBit-a da se autonomno širi preko ciljne mreže je jedna od njegovih karakteristika. Za potencijalne napadače to ga čini poželjnim RaaS-om.
- REVIL: Iako postoji nekoliko RaaS provajdera, to je bio najčešći u 2021. Napad Kaseya, koji se dogodio u julu 2021. i imao je uticaj na najmanje 1,500 kompanija, bio je povezan sa REvil RaaS-om. Smatra se da je organizacija stajala i iza napada u junu 2021. na proizvođača mesa JBS USA, za koji je žrtva morala da plati 11 miliona dolara otkupnine. Takođe je utvrđeno da je odgovoran za napad ransomware-a na provajdera sajber osiguranja CNA Financial u martu 2021.
Kako spriječiti RaaS napade?
RaaS hakeri najčešće koriste sofisticirane e-poruke za krađu identiteta koje su stručno kreirane da izgledaju autentične za distribuciju zlonamjernog softvera. Solidan pristup upravljanju rizicima koji podržava stalnu obuku o svesti o bezbednosti za krajnje korisnike je neophodan za zaštitu od RaaS eksploatacije.
Prva i najbolja zaštita je stvaranje poslovne kulture koja informiše krajnje korisnike o najnovijim tehnikama krađe identiteta i opasnostima koje napadi ransomware-a predstavljaju za njihove finansije i reputaciju. Inicijative u tom smislu uključuju:
- Nadogradnje softvera: Operativni sistemi i aplikacije se često iskorištavaju od strane ransomware-a. Da biste spriječili napade ransomwarea, važno je ažurirati softver kada se objave zakrpe i ažuriranja.
- Pazite da napravite sigurnosnu kopiju i vratite svoje podatke: Uspostavljanje strategije sigurnosnog kopiranja i oporavka podataka je prvi i vjerovatno najvažniji korak. Podaci postaju neupotrebljivi za korisnike nakon šifriranja pomoću ransomwarea. Utjecaj šifriranja podataka od strane napadača može se smanjiti ako kompanija ima trenutne sigurnosne kopije koje se mogu koristiti u proceduri oporavka.
- Prevencija phishinga: Krađa identiteta putem e-pošte je tipična metoda napada za ransomware. RaaS napadi se mogu spriječiti ako postoji neka vrsta zaštite e-pošte protiv krađe identiteta.
- Višefaktorska autentifikacija: Neki napadači na ransomware koriste punjenje vjerodajnica, što uključuje korištenje ukradenih lozinki s jedne stranice na drugoj. Budući da je još uvijek potreban drugi faktor za pristup, višefaktorska autentifikacija smanjuje utjecaj jedne lozinke koja se prekomjerno koristi.
- Sigurnost za XDR krajnje tačke: Sigurnost krajnjih tačaka i tehnologije za lov na prijetnje, kao što je XDR, nude dodatni ključni sloj odbrane od ransomwarea. Ovo nudi poboljšane mogućnosti otkrivanja i odgovora koje pomažu u smanjenju opasnosti od ransomwarea.
- DNS ograničenje: Ransomware često koristi neku vrstu komandnog i kontrolnog (C2) servera za povezivanje sa platformom RaaS operatera. DNS upit je gotovo uvijek uključen u komunikaciju od zaražene mašine do C2 servera. Organizacije mogu prepoznati kada ransomware pokušava stupiti u interakciju s RaaS C2 i spriječiti komunikaciju uz pomoć sigurnosnog rješenja za filtriranje DNS-a. Ovo može djelovati kao vrsta prevencije infekcije.
Budućnost RaaS-a
RaaS napadi će postati rasprostranjeniji i omiljeniji među hakerima u budućnosti. Preko 60% svih sajber napada u posljednjih 18 mjeseci, prema nedavnom izvještaju, bilo je zasnovano na RaaS-u.
RaaS postaje sve popularniji zbog toga što je jednostavan za korištenje i činjenice da nije potrebno nikakvo tehničko znanje. Osim toga, trebali bismo se pripremiti za povećanje RaaS napada koji ciljaju vitalnu infrastrukturu.
Ovo pokriva oblasti zdravstva, administracije, transporta i energetike. Hakeri vide ove ključne industrije i institucije kao izloženije nego ikad, stavljajući entitete poput bolnica i elektrana na vidjelo RaaS napada kao lanac opskrbe problemi se nastavljaju do 2022.
zaključak
Zaključno, čak i ako je Ransomware-as-a-Service (RaaS) kreacija i jedna od najnovijih opasnosti za plijen digitalnih korisnika, ključno je poduzeti određene preventivne mjere za borbu protiv ove prijetnje.
Pored drugih osnovnih sigurnosnih mjera predostrožnosti, možete se osloniti i na najsavremenije alate za zaštitu od malvera kako bi vas dodatno zaštitili od ove prijetnje. Nažalost, čini se da je RaaS tu da ostane za sada.
Trebat će vam sveobuhvatan plan tehnologije i kibernetičke sigurnosti za zaštitu od RaaS napada kako biste smanjili vjerovatnoću uspješnog RaaS napada.
Ostavite odgovor