El ransomware no és una amenaça nova a Internet. Les seves arrels es remunten a molts anys. Aquesta amenaça només s'ha tornat més perillosa i despietada amb el pas del temps.
La paraula "ransomware" ha guanyat un reconeixement generalitzat com a resultat del bombardeig de ciberatacs que han inutilitzat moltes empreses en els últims anys.
Tots els fitxers del vostre ordinador s'han descarregat i xifrat i, aleshores, la vostra pantalla es torna negra i apareix un missatge en anglès.
YHeu de pagar un rescat als ciberdelinqüents de barret negre en Bitcoin o altres criptomonedes que no es poden localitzar per obtenir una clau de desxifrat o evitar que les vostres dades sensibles s'alliberin a la web fosca.
Però és possible que menys coneguin el ransomware com a servei, un model de negoci de l'inframón ben organitzat que pot dur a terme aquest tipus d'atacs (o RaaS).
En lloc de dur a terme atacs ells mateixos, els creadors de ransomware lloguen els seus costosos virus a ciberdelinqüents menys experimentats que estan preparats per incórrer en el risc associat a la realització d'operacions de ransomware.
Com funciona tot plegat, però? Qui dirigeix la jerarquia i qui actua com a intermediari? I potser més important, com pots defensar el teu negoci i tu mateix d'aquests atacs paralitzants?
Continueu llegint per obtenir més informació sobre RaaS.
Què és Ransomware com a servei (RaaS)?
Ransomware-as-a-service (RaaS) és un model de negoci d'empresa criminal que permet a qualsevol persona unir-se i utilitzar eines per llançar atacs de ransomware.
Els usuaris de RaaS, com els que utilitzen altres models com a servei, com ara programari com a servei (SaaS) o plataforma com a servei (PaaS), lloguen en lloc de posseir serveis de ransomware.
És un vector d'atac de codi baix i programari com a servei que permet als delinqüents comprar programari de ransomware a la web fosca i dur a terme atacs de ransomware sense saber codificar.
Els esquemes de pesca de correu electrònic són un vector d'atac comú per a les vulnerabilitats de RaaS.
Quan una víctima fa clic en un enllaç maliciós al correu electrònic de l'atacant, el programari de ransomware es baixa i s'estén per la màquina afectada, desactivant els tallafocs i el programari antivirus.
El programari RaaS pot buscar maneres d'elevar els privilegis una vegada que s'han incomplert les defenses del perímetre de la víctima i, finalment, mantenir tota l'organització com a ostatge xifrant els fitxers fins al punt que no siguin accessibles.
Una vegada que la víctima hagi estat informada de l'atac, el programa li proporcionarà instruccions sobre com pagar el rescat i (idealment) obtenir la clau criptogràfica adequada per al desxifrat.
Tot i que les vulnerabilitats de RaaS i ransomware són il·legals, els delinqüents que duen a terme aquest tipus d'assalt poden ser especialment difícils d'arrestar perquè utilitzen navegadors Tor (també coneguts com encaminadors de ceba) per accedir a les seves víctimes i exigir pagaments de rescat de bitcoins.
L'FBI afirma que cada vegada més creadors de programari maliciós estan difonent els seus programes nocius LCNC (codi baix/sense codi) a canvi d'una retallada dels ingressos de l'extorsió.
Com funciona el model RaaS?
Els desenvolupadors i els afiliats col·laboren per dur a terme un atac RaaS eficaç. Els desenvolupadors són els encarregats d'escriure programari maliciós de ransomware especialitzat, que després es ven a un afiliat.
Els desenvolupadors proporcionen el codi de ransomware i les instruccions per llançar l'assalt. RaaS és senzill d'utilitzar i requereix pocs coneixements tecnològics.
Qualsevol persona que tingui accés a la web fosca pot entrar al portal, unir-se com a afiliat i llançar assalts amb un sol clic. Els afiliats trien el tipus de virus que volen distribuir i fan un pagament mitjançant una criptomoneda, normalment Bitcoin, per començar.
El desenvolupador i l'afiliat divideixen els guanys quan es paguen els diners del rescat i l'atac té èxit. El tipus de model d'ingressos determina com s'assignen els fons.
Examinem algunes d'aquestes estratègies comercials il·legals.
Afiliat a RaaS
A causa de diversos factors, inclòs el coneixement de la marca del grup de ransomware, els índexs d'èxit de les campanyes i el calibre i varietat dels serveis oferts, els programes d'afiliats clandestins s'han convertit en una de les formes més conegudes de RaaS.
Les organitzacions criminals sovint busquen pirates informàtics que puguin entrar a les xarxes empresarials pel seu compte per mantenir el seu codi de ransomware dins de la banda. A continuació, utilitzen el virus i l'assistència per llançar l'assalt.
Tanmateix, és possible que un pirata informàtic ni tan sols ho necessiti donat el recent augment de l'accés a la xarxa corporativa per a la venda a la web fosca per satisfer aquests criteris.
Els pirates informàtics amb menys experiència i ben recolzats llancen agressions d'alt risc a canvi d'una participació en els beneficis en lloc de pagar un càrrec mensual o anual per utilitzar el codi de ransomware (però de vegades és possible que els afiliats hagin de pagar per jugar).
La majoria de les vegades, les bandes de ransomware busquen pirates informàtics prou qualificats per entrar a la xarxa d'una empresa i prou valents per dur a terme la vaga.
En aquest sistema, l'afiliat sovint rep entre el 60% i el 70% del rescat, i el 30% al 40% restant s'envia a l'operador RaaS.
RaaS basat en subscripció
En aquesta tàctica, els estafadors paguen una quota de membre de manera regular per tenir accés a programari de ransom, assistència tècnica i actualitzacions de virus. Molts models de serveis de subscripció basats en web, com Netflix, Spotify o Microsoft Office 365, són comparables a aquest.
Normalment, els delinqüents de ransomware es conserven el 100% dels ingressos dels pagaments del rescat si paguen el servei per avançat, que pot costar entre 50 i centenars de dòlars cada mes, depenent del proveïdor de RaaS.
Aquestes quotes de membres representen una inversió modesta en comparació amb el pagament habitual del rescat d'uns 220,000 dòlars. Per descomptat, els programes d'afiliats també poden incorporar un element de pagament per jugar basat en subscripció als seus plans.
Permís de per vida
Un productor de programari maliciós pot decidir oferir paquets per un pagament únic i evitar l'oportunitat de participar directament en ciberatacs en lloc de guanyar diners recurrents mitjançant subscripcions i participació en beneficis.
En aquest cas, els ciberdelinqüents paguen un càrrec únic per tenir accés durant tota la vida a un kit de ransomware, que poden utilitzar de la manera que considerin adequada.
Alguns ciberdelinqüents de nivell inferior podrien triar una compra única encara que sigui significativament més cara (desenes de milers de dòlars per als kits sofisticats) ja que els seria més difícil connectar-se a l'operador RaaS si l'operador fos detingut.
Col·laboracions RaaS
Els ciberatacs que utilitzen ransomware necessiten que cada pirata informàtic implicat tingui un conjunt únic d'habilitats.
En aquest escenari, un grup es reuniria i aportaria diverses contribucions a l'operació. Per començar, cal un desenvolupador de codi de ransomware, pirates informàtics de xarxa corporativa i un negociador de rescat de parla anglesa.
En funció del seu paper i importància a la campanya, cada participant o soci acceptaria dividir els guanys.
Com detectar un atac RaaS?
Normalment, no hi ha cap protecció contra l'assalt de ransomware que sigui 100% efectiva. Tanmateix, els correus electrònics de pesca segueixen sent el mètode principal utilitzat per dur a terme agressions de programari ransomware.
Per tant, una empresa ha d'oferir formació sobre conscienciació sobre la pesca per garantir que els membres del personal tinguin la millor comprensió possible de com detectar correus electrònics de pesca.
A nivell tècnic, les empreses poden tenir un equip de ciberseguretat especialitzat encarregat de cercar amenaces. La caça d'amenaces és un mètode molt reeixit per detectar i prevenir els atacs de ransomware.
En aquest procés es crea una teoria utilitzant la informació sobre vectors d'assalt. El pressentiment i les dades ajuden a la creació d'un programa que podria identificar ràpidament la causa de l'assalt i aturar-lo.
Per estar atent a les execucions inesperades de fitxers, comportaments sospitosos, etc. a la xarxa, s'utilitzen eines de caça d'amenaces. Per identificar els intents d'atac de ransomware, fan ús del rellotge dels indicadors de compromís (IOC).
A més, s'utilitzen molts models de caça d'amenaces situacionals, cadascun dels quals s'adapta a la indústria de l'organització objectiu.
Exemples de RaaS
Els autors de ransomware s'acaben d'adonar de com de rendible és construir un negoci RaaS. A més, hi ha hagut diverses organitzacions d'actors d'amenaça que han establert operacions RaaS per propagar el ransomware a gairebé totes les empreses. Aquestes són algunes de les organitzacions de RaaS:
- Costat fosc: és un dels proveïdors de RaaS més infames. Segons els informes, aquesta banda va estar darrere de l'atac a Colonial Pipeline el maig del 2021. Es creu que DarkSide va començar a l'agost del 2020 i va assolir el màxim d'activitat durant els primers mesos del 2021.
- Dharma: Dharma Ransomware va aparèixer originalment el 2016 amb el nom de CrySis. Tot i que hi ha hagut diverses variacions de Dharma Ransomware al llarg dels anys, Dharma va aparèixer per primera vegada en format RaaS el 2020.
- Laberint: Com amb molts altres proveïdors de RaaS, Maze va debutar el 2019. A més de xifrar les dades dels usuaris, l'organització RaaS va amenaçar amb publicar dades públicament per intentar humiliar les víctimes. El Maze RaaS es va tancar formalment el novembre de 2020, tot i que les raons d'això encara són una mica borroses. Alguns acadèmics, però, creuen que els mateixos delinqüents han persistit amb diversos noms, com Egregor.
- DoppelPaymer: S'ha relacionat amb una sèrie d'esdeveniments, inclòs un el 2020 contra un hospital d'Alemanya que va cobrar la vida d'un pacient.
- Ryuk: Tot i que el RaaS va ser més actiu el 2019, es creu que va existir almenys el 2017. Moltes empreses de seguretat, incloses CrowdStrike i FireEye, han negat les afirmacions fetes per certs investigadors que el conjunt es troba a Corea del Nord.
- LockBit: Com a extensió de fitxer, l'organització utilitza per xifrar els fitxers de les víctimes, ".abcd virus", va aparèixer per primera vegada el setembre de 2019. La capacitat de LockBit per estendre's de manera autònoma per una xarxa objectiu és una de les seves característiques. Per als possibles atacants, això el converteix en un RaaS desitjable.
- Revil: Tot i que hi ha diversos proveïdors de RaaS, va ser el més comú l'any 2021. L'assalt de Kaseya, que es va produir el juliol de 2021 i va afectar almenys 1,500 empreses, estava vinculat al REvil RaaS. També es creu que l'organització va estar darrere de l'atac del juny de 2021 al fabricant de carn JBS USA, pel qual la víctima va haver de pagar un rescat d'11 milions de dòlars. També es va trobar que era responsable d'un assalt de ransomware al proveïdor d'assegurances cibernètiques CNA Financial el març de 2021.
Com prevenir els atacs RaaS?
Els pirates informàtics de RaaS utilitzen amb més freqüència correus electrònics sofisticats de pesca de pesca que han estat creats per experts per semblar autèntics per distribuir programari maliciós. És necessari un enfocament sòlid de gestió de riscos que doni suport a la formació contínua de conscienciació sobre seguretat per als usuaris finals per protegir-se contra les explotacions RaaS.
La primera i la millor protecció és crear una cultura empresarial que informi els usuaris finals sobre les tècniques de pesca més recents i els perills que els atacs de ransomware representen per a les seves finances i reputació. Les iniciatives en aquest sentit inclouen:
- Actualitzacions de programari: els sistemes operatius i les aplicacions són explotats amb freqüència pel ransomware. Per ajudar a aturar els atacs de ransomware, és important actualitzar el programari quan es publiquin pegats i actualitzacions.
- Aneu amb compte amb la còpia de seguretat i la restauració de les vostres dades: Establir una estratègia de còpia de seguretat i recuperació de dades és el primer pas i, probablement, el més important. Les dades es tornen inutilitzables per als usuaris després del xifratge per ransomware. L'impacte del xifratge de dades per part d'un atacant es pot reduir si una empresa té còpies de seguretat actuals que es poden utilitzar en un procediment de recuperació.
- Prevenció del phishing: La pesca a través de correus electrònics és un mètode típic d'atac per a ransomware. Els atacs RaaS es poden prevenir si hi ha algun tipus de protecció de correu electrònic anti-phishing.
- Autenticació de múltiples factors: Alguns atacants de ransomware utilitzen el farcit de credencials, que implica l'ús de contrasenyes robades d'un lloc a un altre. Com que encara es requereix un segon factor per obtenir accés, l'autenticació multifactor disminueix l'impacte d'una única contrasenya que s'utilitza en excés.
- Seguretat per a punts finals XDR: Les tecnologies de seguretat dels punts finals i de recerca d'amenaces, com XDR, ofereixen una capa de defensa crucial addicional contra el ransomware. Això ofereix capacitats de detecció i resposta millorades que ajuden a reduir el perill del ransomware.
- Restricció de DNS: El ransomware utilitza sovint algun tipus de servidor d'ordres i control (C2) per interactuar amb la plataforma d'un operador RaaS. Una consulta DNS gairebé sempre està implicada en les comunicacions des d'una màquina infectada al servidor C2. Les organitzacions poden reconèixer quan el ransomware intenta interactuar amb el RaaS C2 i evitar les comunicacions amb l'ajuda d'una solució de seguretat de filtratge DNS. Això pot actuar com un tipus de prevenció d'infeccions.
Futur de RaaS
Els assalts RaaS seran més freqüents i estimats entre els pirates informàtics en el futur. Més del 60% de tots els ciberatacs dels darrers 18 mesos, segons un informe recent, es van basar en RaaS.
RaaS és cada cop més popular com a resultat de la senzillesa que és d'utilitzar i del fet que no cal cap coneixement tècnic. A més, ens hauríem de preparar per a un augment dels assalts de RaaS dirigits a infraestructures vitals.
Això cobreix els camps de la sanitat, l'administració, el transport i l'energia. Els pirates informàtics veuen aquestes indústries i institucions crucials com més exposades que mai, posant entitats com hospitals i centrals elèctriques en el punt de mira dels atacs RaaS com a cadena de subministrament els problemes es mantindran fins al 2022.
Conclusió
En conclusió, tot i que Ransomware-as-a-Service (RaaS) és una creació i un dels perills més recents per atacar els usuaris digitals, és crucial prendre determinades mesures preventives per combatre aquesta amenaça.
A més d'altres precaucions de seguretat fonamentals, també podeu confiar en eines antimalware d'avantguarda per protegir-vos encara més d'aquesta amenaça. Lamentablement, RaaS sembla estar aquí per quedar-se de moment.
Necessitareu un pla integral de tecnologia i ciberseguretat per protegir-vos dels atacs RaaS per reduir la probabilitat d'un assalt RaaS amb èxit.
Deixa un comentari