Ransomware je stěží zbrusu novou hrozbou na internetu. Jeho kořeny sahají mnoho let do minulosti. Tato hrozba se postupem času stala nebezpečnější a bezohlednější.
Slovo „ransomware“ si získalo široké uznání v důsledku bombardování kybernetických útoků, které v posledních letech učinily mnoho podniků nepoužitelnými.
Všechny soubory na vašem PC byly staženy a zašifrovány a poté obrazovka zčerná a objeví se zpráva v klopýtající angličtině.
YMusíte zaplatit výkupné černým kyberzločincům v bitcoinech nebo jiných nevysledovatelných kryptoměnách, abyste získali dešifrovací klíč nebo zabránili zveřejnění vašich citlivých dat na temném webu.
Ale méně lidí si možná uvědomuje ransomware-as-a-Service, dobře organizovaný obchodní model podsvětí, který může provádět tyto typy útoků (neboli RaaS).
Místo toho, aby sami prováděli útoky, pronajímají tvůrci ransomwaru své drahé viry méně zkušeným kyberzločincům, kteří jsou připraveni podstoupit riziko spojené s prováděním operací s ransomwarem.
Jak to ale všechno funguje? Kdo vede hierarchii a kdo funguje jako prostředníci? A možná ještě důležitější je, jak můžete bránit své podnikání a sebe proti těmto ochromujícím útokům?
Pokračujte ve čtení a zjistěte více o RaaS.
Co je Ransomware jako služba (RaaS)?
Ransomware-as-a-service (RaaS) je kriminální podnikový obchodní model, který umožňuje komukoli připojit se a využívat nástroje pro spouštění ransomwarových útoků.
Uživatelé RaaS, stejně jako ti, kteří používají jiné modely jako služba, jako je software jako služba (SaaS) nebo platforma jako služba (PaaS), si služby ransomwaru spíše pronajímají, než aby vlastnili.
Jedná se o vektor útoků typu software jako služba s nízkým kódem, který umožňuje zločincům kupovat ransomwarový software na temném webu a provádět ransomwarové útoky, aniž by věděli, jak kódovat.
E-mailová phishingová schémata jsou běžným vektorem útoků na zranitelnosti RaaS.
Když oběť klikne na škodlivý odkaz v útočníkově e-mailu, ransomware se stáhne a rozšíří po postiženém počítači, čímž deaktivuje brány firewall a antivirový software.
Software RaaS může hledat způsoby, jak zvýšit privilegia, jakmile dojde k prolomení ochrany perimetru oběti, a nakonec držet celou organizaci jako rukojmí šifrováním souborů do bodu, kdy jsou nedosažitelné.
Jakmile je oběť informována o útoku, program jí poskytne instrukce, jak zaplatit výkupné a (v ideálním případě) získat správný kryptografický klíč k dešifrování.
Ačkoli jsou zranitelnosti RaaS a ransomwaru nezákonné, zločince, kteří provádějí tento druh útoku, může být obzvláště obtížné zadržet, protože využívají prohlížeče Tor (také známé jako onion routery) k přístupu ke svým obětem a požadují platby za bitcoinové výkupné.
FBI tvrdí, že stále více tvůrců malwaru šíří své škodlivé programy LCNC (low code/no code) výměnou za snížení výnosů z vydírání.
Jak funguje model RaaS?
Vývojáři a přidružení partneři spolupracují na provedení účinného útoku RaaS. Vývojáři mají na starosti psaní specializovaného ransomwarového malwaru, který je následně prodán přidružené společnosti.
Kód ransomwaru a pokyny pro spuštění útoku poskytují vývojáři. RaaS se snadno používá a vyžaduje malé technologické znalosti.
Každý, kdo má přístup k temnému webu, může vstoupit do portálu, připojit se jako přidružená společnost a zahájit útoky jediným kliknutím. Přidružené společnosti si vyberou druh viru, který chtějí distribuovat, a pro začátek provedou platbu pomocí kryptoměny, obvykle bitcoinu.
Vývojář a affiliate partner si rozdělí výdělky, když je zaplaceno výkupné a útok je úspěšný. Typ výnosového modelu určuje, jak jsou prostředky alokovány.
Podívejme se na některé z těchto nelegálních obchodních strategií.
Přidružený RaaS
Díky řadě faktorů, včetně povědomí o značce skupiny ransomware, úspěšnosti kampaní a kalibru a rozmanitosti nabízených služeb, se podzemní affiliate programy staly jednou z nejznámějších forem RaaS.
Zločinecké organizace často vyhledávají hackery, kteří se mohou sami dostat do obchodních sítí, aby si udrželi svůj ransomware kód v rámci gangu. Poté využijí virus a pomoc k zahájení útoku.
Hacker to však nemusí ani potřebovat vzhledem k nedávnému nárůstu přístupu k podnikové síti na prodej na temném webu, aby tato kritéria splnil.
Dobře podporovaní, méně zkušení hackeři zahajují vysoce rizikové útoky výměnou za podíl na zisku, místo aby platili měsíční nebo roční poplatek za použití kódu ransomwaru (ale občas mohou přidružené společnosti za hraní platit).
Ransomwarové gangy většinou hledají hackery, kteří jsou dostatečně kvalifikovaní na to, aby pronikli do firemní sítě, a dostatečně odvážní, aby provedli stávku.
V tomto systému affiliate partner často obdrží mezi 60 % a 70 % výkupného, přičemž zbývajících 30 % až 40 % je zasláno operátorovi RaaS.
RaaS na bázi předplatného
Při této taktice podvodníci pravidelně platí členský poplatek, aby měli přístup k ransomwaru, technické podpoře a aktualizacím virů. Mnoho modelů webových předplatitelských služeb, jako je Netflix, Spotify nebo Microsoft Office 365, je srovnatelných s tímto.
Obvykle si pachatelé ransomwaru nechávají 100 % příjmů z plateb výkupného pro sebe, pokud za službu zaplatí předem, což může stát 50 až stovky dolarů každý měsíc, v závislosti na dodavateli RaaS.
Tyto členské poplatky představují skromnou investici ve srovnání s obvyklou platbou výkupného ve výši přibližně 220,000 XNUMX USD. Přidružené programy mohou samozřejmě do svých plánů začlenit také prvek založený na předplatném a placení za hraní.
Doživotní povolení
Producent malwaru se může rozhodnout nabízet balíčky za jednorázovou platbu a vyhnout se riziku přímého zapojení do kybernetických útoků, místo aby vydělával opakující se peníze prostřednictvím předplatného a sdílení zisku.
Kyberzločinci v tomto případě zaplatí jednorázový poplatek, aby získali doživotní přístup k sadě ransomwaru, kterou mohou používat jakýmkoli způsobem, který považují za vhodný.
Někteří kyberzločinci nižší úrovně by si mohli zvolit jednorázový nákup, i když je výrazně dražší (desítky tisíc dolarů za sofistikované sady), protože by pro ně bylo obtížnější se připojit k operátorovi RaaS v případě dopadení operátora.
RaaS partnerství
Kybernetické útoky využívající ransomware vyžadují, aby každý zapojený hacker měl jedinečnou sadu schopností.
V tomto scénáři by se skupina sešla a poskytla různé příspěvky na operaci. Pro začátek je nutný vývojář ransomwarového kódu, hackeři podnikové sítě a anglicky mluvící vyjednavač výkupného.
V závislosti na své roli a významu v kampani by každý účastník nebo partner souhlasil s rozdělením výdělku.
Jak detekovat RaaS útok?
Obvykle neexistuje žádná ochrana před útoky ransomware, která by byla 100% účinná. Phishingové e-maily však zůstávají primární metodou používanou k provádění útoků ransomware.
Společnost proto musí poskytovat školení o phishingu, aby zajistila, že zaměstnanci budou co nejlépe rozumět tomu, jak rozpoznat phishingové e-maily.
Na technické úrovni mohou mít podniky specializovaný tým pro kybernetickou bezpečnost, jehož úkolem je provádět vyhledávání hrozeb. Hledání hrozeb je velmi úspěšná metoda pro detekci a prevenci útoků ransomwaru.
V tomto procesu je vytvořena teorie využívající informace o vektorech útoku. Tušení a data pomáhají při vytváření programu, který by mohl rychle identifikovat příčinu útoku a zastavit ho.
Aby bylo možné dávat pozor na neočekávané spuštění souborů, podezřelé chování atd. v síti, používají se nástroje pro vyhledávání hrozeb. K identifikaci pokusů o ransomware útoky využívají hodinky pro indikátory kompromisu (IOC).
Kromě toho se používá mnoho modelů hledání situačních hrozeb, z nichž každý je přizpůsoben odvětví cílové organizace.
Příklady RaaS
Autoři ransomwaru si právě uvědomili, jak ziskové je vybudovat RaaS podnikání. Kromě toho existuje několik organizací působících v oblasti hrozeb, které zavedly operace RaaS za účelem šíření ransomwaru téměř v každém podnikání. Toto je několik organizací RaaS:
- Darkside: Je to jeden z nejznámějších poskytovatelů RaaS. Podle zpráv stál tento gang za útokem na Colonial Pipeline v květnu 2021. Předpokládá se, že DarkSide začal v srpnu 2020 a dosáhl vrcholu během prvních měsíců roku 2021.
- Dharma: Dharma Ransomware se původně objevil v roce 2016 pod názvem CrySis. Přestože v průběhu let existovalo několik variant Dharma Ransomware, Dharma se poprvé objevila ve formátu RaaS v roce 2020.
- Bludiště: Stejně jako u mnoha jiných poskytovatelů RaaS, i Maze debutoval v roce 2019. Kromě šifrování uživatelských dat pohrozila organizace RaaS zveřejněním dat ve snaze ponížit oběti. Maze RaaS se formálně vypnul v listopadu 2020, i když důvody pro to jsou stále poněkud mlhavé. Někteří akademici se však domnívají, že stejní pachatelé přetrvávali pod různými jmény, jako je Egregor.
- DoppelPaymer: Bylo to spojeno s řadou událostí, včetně jedné z roku 2020 proti nemocnici v Německu, která si vyžádala život pacienta.
- Ryuk: Ačkoli byl RaaS aktivnější v roce 2019, předpokládá se, že existoval minimálně v roce 2017. Mnoho bezpečnostních společností, včetně CrowdStrike a FireEye, popřelo tvrzení některých výzkumníků, že se zařízení nachází v Severní Koreji.
- LockBit: Jako příponu souboru používá organizace k šifrování souborů obětí, „.abcd virus“, který se poprvé objevil v září 2019. Jednou z jeho funkcí je schopnost LockBit autonomně se šířit po cílové síti. Pro případné útočníky to z něj dělá žádoucí RaaS.
- Revil: Ačkoli existuje několik poskytovatelů RaaS, byl nejčastější v roce 2021. Útok Kaseya, ke kterému došlo v červenci 2021 a měl dopad na nejméně 1,500 společností, byl spojen s REvil RaaS. Předpokládá se, že organizace stála také za útokem na výrobce masa JBS USA z června 2021, za který musela oběť zaplatit výkupné ve výši 11 milionů dolarů. Bylo také zjištěno, že je odpovědná za ransomwarový útok na poskytovatele kybernetického pojištění CNA Financial v březnu 2021.
Jak zabránit útokům RaaS?
Hackeři RaaS k distribuci malwaru nejčastěji používají sofistikované e-maily typu spear-phishing, které jsou odborně vytvořeny tak, aby vypadaly autenticky. K ochraně před zneužitím RaaS je nezbytný solidní přístup k řízení rizik, který podporuje průběžné školení o povědomí koncových uživatelů o zabezpečení.
První a nejlepší ochranou je vytvoření obchodní kultury, která informuje koncové uživatele o nejnovějších phishingových technikách a rizicích, která ransomwarové útoky představují pro jejich finance a pověst. Mezi iniciativy v tomto ohledu patří:
- Aktualizace softwaru: Operační systémy a aplikace jsou často zneužívány ransomwarem. Chcete-li pomoci zastavit útoky ransomwaru, je důležité aktualizovat software při vydání oprav a aktualizací.
- Dávejte pozor na zálohování a obnovu dat: Stanovení strategie zálohování a obnovy dat je prvním a pravděpodobně nejdůležitějším krokem. Data se po zašifrování ransomware stanou pro uživatele nepoužitelnými. Dopad šifrování dat útočníkem lze snížit, pokud má společnost aktuální zálohy, které lze využít v proceduře obnovy.
- Prevence phishingu: Typickou metodou útoku pro ransomware je phishing prostřednictvím e-mailů. Útokům RaaS lze zabránit, pokud je zavedena nějaká ochrana proti phishingu.
- Vícefaktorová autentizace: Někteří útočníci ransomwaru využívají vycpávání přihlašovacích údajů, což zahrnuje použití ukradených hesel z jednoho webu na druhém. Vzhledem k tomu, že pro získání přístupu je stále vyžadován druhý faktor, vícefaktorové ověřování snižuje dopad jediného hesla, které je nadměrně používáno.
- Zabezpečení pro koncové body XDR: Technologie zabezpečení koncových bodů a vyhledávání hrozeb, jako je XDR, nabízejí další zásadní vrstvu obrany proti ransomwaru. To nabízí vylepšené schopnosti detekce a reakce, které pomáhají snížit nebezpečí ransomwaru.
- Omezení DNS: Ransomware často používá nějaký druh příkazového a řídicího serveru (C2) k propojení s platformou operátora RaaS. Dotaz DNS je téměř vždy zapojen do komunikace z infikovaného počítače se serverem C2. Organizace mohou rozpoznat, kdy se ransomware pokouší o interakci s RaaS C2, a zabránit komunikaci pomocí bezpečnostního řešení filtrování DNS. To může fungovat jako typ prevence infekce.
Budoucnost RaaS
Útoky RaaS budou v budoucnu mezi hackery stále běžnější a oblíbenější. Více než 60 % všech kybernetických útoků za posledních 18 měsíců bylo podle nedávné zprávy založeno na RaaS.
RaaS se stává stále populárnějším v důsledku toho, jak jednoduché je jeho použití a není nutné žádné technické znalosti. Kromě toho bychom se měli připravit na nárůst útoků RaaS, které se zaměřují na životně důležitou infrastrukturu.
To zahrnuje oblasti zdravotnictví, administrativy, dopravy a energetiky. Hackeři považují tato klíčová průmyslová odvětví a instituce za exponovanější než kdy jindy a staví entity, jako jsou nemocnice a elektrárny, do hledáčku útoků RaaS. dodavatelského řetězce problémy pokračují až do roku 2022.
Proč investovat do čističky vzduchu?
Závěrem lze říci, že i když je Ransomware-as-a-Service (RaaS) výtvorem a jedním z nejnovějších nebezpečí pro digitální uživatele, je zásadní přijmout určitá preventivní opatření k boji proti této hrozbě.
Kromě dalších základních bezpečnostních opatření se můžete také spolehnout na špičkové antimalwarové nástroje, které vás před touto hrozbou dále ochrání. Bohužel se zdá, že RaaS tu prozatím zůstane.
Budete potřebovat komplexní technologii a plán kybernetické bezpečnosti na ochranu před útoky RaaS, abyste snížili pravděpodobnost úspěšného útoku RaaS.
Napsat komentář