Go brin bod Ransomware yn fygythiad newydd sbon ar y rhyngrwyd. Mae ei wreiddiau yn mynd yn ôl flynyddoedd lawer. Dim ond dros amser y mae'r bygythiad hwn wedi dod yn fwy peryglus a didostur.
Mae’r gair “ransomware” wedi ennill cydnabyddiaeth eang o ganlyniad i beledu ymosodiadau seibr sydd wedi gwneud llawer o fusnesau yn annefnyddiadwy yn ystod y blynyddoedd diwethaf.
Mae'r holl ffeiliau ar eich cyfrifiadur personol wedi'u llwytho i lawr a'u hamgryptio, ac yna mae'ch sgrin yn mynd yn ddu ac mae neges mewn Saesneg yn baglu yn ymddangos.
Yrhaid i chi dalu pridwerth i seiberdroseddwyr het ddu yn Bitcoin neu arian cyfred digidol na ellir ei olrhain er mwyn cael allwedd dadgryptio neu atal eich data sensitif rhag cael ei ryddhau ar y we dywyll.
Ond efallai y bydd llai yn ymwybodol o ransomware-as-a-Service, model busnes isfydol trefnus a all gyflawni'r mathau hyn o ymosodiadau (neu RaaS).
Yn hytrach na chynnal ymosodiadau eu hunain, mae crewyr ransomware yn rhentu eu firysau drud i droseddwyr seiber llai profiadol sy'n barod i wynebu'r risg sy'n gysylltiedig â chynnal gweithrediadau ransomware.
Sut mae'r cyfan yn gweithredu serch hynny? Pwy sy'n arwain yr hierarchaeth a phwy sy'n gweithredu fel y canolwyr? Ac efallai yn bwysicach fyth, sut allwch chi amddiffyn eich busnes a chi'ch hun rhag yr ymosodiadau erchyll hyn?
Parhewch i ddarllen i ddysgu mwy am RaaS.
Beth yw Ransomware fel Gwasanaeth (RaaS)?
Mae Ransomware-as-a-service (RaaS) yn fodel busnes menter droseddol sy'n caniatáu i unrhyw un ymuno a defnyddio offer ar gyfer lansio ymosodiadau ransomware.
Mae defnyddwyr RaaS, fel y rhai sy'n defnyddio modelau fel-gwasanaeth eraill fel meddalwedd-fel-a-gwasanaeth (SaaS) neu lwyfan-fel-a-gwasanaeth (PaaS), yn rhentu yn hytrach na bod yn berchen ar wasanaethau ransomware.
Mae'n fector ymosodiad meddalwedd-fel-a-gwasanaeth cod isel sy'n galluogi troseddwyr i brynu meddalwedd ransomware ar y we dywyll a chynnal ymosodiadau ransomware heb wybod sut i godio.
Mae cynlluniau gwe-rwydo e-bost yn fector ymosodiad cyffredin ar gyfer gwendidau RaaS.
Pan fydd dioddefwr yn clicio ar ddolen faleisus yn e-bost yr ymosodwr, mae'r ransomware yn lawrlwytho ac yn lledaenu ar draws y peiriant yr effeithir arno, gan analluogi waliau tân a meddalwedd gwrthfeirws.
Gall meddalwedd RaaS chwilio am ffyrdd o ddyrchafu breintiau unwaith y bydd amddiffynfeydd perimedr y dioddefwr wedi'u torri, ac yn y pen draw dal y sefydliad cyfan yn wystl trwy amgryptio ffeiliau i'r pwynt lle nad oes modd eu cyrraedd.
Unwaith y bydd y dioddefwr wedi cael gwybod am yr ymosodiad, bydd y rhaglen yn rhoi cyfarwyddiadau iddynt ar sut i dalu'r pridwerth ac (yn ddelfrydol) yn cael yr allwedd cryptograffig gywir ar gyfer dadgryptio.
Er bod gwendidau RaaS a ransomware yn anghyfreithlon, gall troseddwyr sy'n cyflawni'r math hwn o ymosodiad fod yn arbennig o heriol i'w dal oherwydd eu bod yn defnyddio porwyr Tor (a elwir hefyd yn llwybryddion nionyn) i gael mynediad i'w dioddefwyr a mynnu taliadau pridwerth bitcoin.
Mae'r FBI yn honni bod mwy a mwy o grewyr malware yn lledaenu eu rhaglenni LCNC niweidiol (cod isel / dim cod) yn gyfnewid am doriad o'r elw cribddeiliaeth.
Sut mae model RaaS yn gweithio?
Mae Datblygwyr a Chysylltiadau yn cydweithio i gynnal ymosodiad RaaS effeithiol. Mae datblygwyr yn gyfrifol am ysgrifennu meddalwedd faleisus arbenigol, a werthir wedyn i weithiwr cyswllt.
Darperir y cod ransomware a chyfarwyddiadau ar gyfer lansio'r ymosodiad gan y datblygwyr. Mae RaaS yn syml i'w ddefnyddio ac nid oes angen llawer o wybodaeth dechnolegol arno.
Gall unrhyw un sydd â mynediad i'r we dywyll fynd i mewn i'r porth, ymuno fel cyswllt, a lansio ymosodiadau gydag un clic. Mae cymdeithion yn dewis y math firws y maent am ei ddosbarthu ac yn gwneud taliad gan ddefnyddio arian cyfred digidol, Bitcoin fel arfer, i ddechrau.
Mae'r datblygwr a'r cyswllt yn rhannu'r enillion pan fydd yr arian pridwerth yn cael ei dalu a'r ymosodiad yn llwyddiannus. Y math o fodel refeniw sy'n pennu sut y caiff yr arian ei ddyrannu.
Gadewch i ni archwilio rhai o'r strategaethau busnes anghyfreithlon hyn.
RaaS Affiliate
Oherwydd amrywiaeth o ffactorau, gan gynnwys ymwybyddiaeth brand y grŵp ransomware, cyfraddau llwyddiant yr ymgyrchoedd, a safon ac amrywiaeth y gwasanaethau a gynigir, mae rhaglenni cyswllt tanddaearol wedi dod yn un o'r ffurfiau mwyaf adnabyddus o RaaS.
Mae sefydliadau troseddol yn aml yn chwilio am hacwyr a all fynd i mewn i rwydweithiau busnes ar eu pen eu hunain er mwyn cynnal eu cod nwyddau pridwerth o fewn y gang. Yna maen nhw'n defnyddio'r firws a chymorth i lansio'r ymosodiad.
Fodd bynnag, efallai na fydd angen hyn ar haciwr hyd yn oed o ystyried y cynnydd diweddar mewn mynediad rhwydwaith corfforaethol i'w werthu ar y we dywyll i fodloni'r meini prawf hyn.
Mae hacwyr llai profiadol, sydd â chefnogaeth dda, yn lansio ymosodiadau risg uchel yn gyfnewid am gyfran o elw yn hytrach na thalu tâl misol neu flynyddol i ddefnyddio’r cod ransomware (ond o bryd i’w gilydd efallai y bydd yn rhaid i gwmnïau cysylltiedig dalu i chwarae).
Y rhan fwyaf o'r amser, mae gangiau ransomware yn chwilio am hacwyr sy'n ddigon medrus i dorri i mewn i rwydwaith cwmni ac yn ddigon dewr i gyflawni'r streic.
Yn y system hon, mae'r cyswllt yn aml yn derbyn rhwng 60% a 70% o'r pridwerth, gyda'r 30% i 40% sy'n weddill yn cael ei anfon at y gweithredwr RaaS.
RaaS ar sail tanysgrifiad
Yn y dacteg hon, mae sgamwyr yn talu ffi aelodaeth yn rheolaidd i gael mynediad at ransomware, cymorth technegol, a diweddariadau firws. Mae llawer o fodelau gwasanaeth tanysgrifio ar y we, fel Netflix, Spotify, neu Microsoft Office 365, yn debyg i hyn.
Fel arfer, mae troseddwyr ransomware yn cadw 100% o'r refeniw o daliadau pridwerth drostynt eu hunain os ydynt yn talu am y gwasanaeth ymlaen llaw, a allai gostio $50 i gannoedd o ddoleri bob mis, yn dibynnu ar y cyflenwr RaaS.
Mae'r ffioedd aelodaeth hyn yn fuddsoddiad cymedrol o gymharu â'r taliad pridwerth arferol o tua $220,000. Wrth gwrs, gall rhaglenni cyswllt hefyd ymgorffori elfen talu-i-chwarae, sy'n seiliedig ar danysgrifiad, yn eu cynlluniau.
Trwydded oes
Gall cynhyrchydd drwgwedd benderfynu cynnig pecynnau am daliad un-amser ac osgoi cymryd y siawns o ymwneud yn uniongyrchol ag ymosodiadau seiber yn lle ennill arian cylchol trwy danysgrifiadau a rhannu elw.
Mae seiberdroseddwyr yn yr achos hwn yn talu tâl un-amser i gael mynediad gydol oes at becyn nwyddau pridwerth, y gallant ei ddefnyddio mewn unrhyw ffordd sy'n briodol yn eu barn nhw.
Gallai rhai seiberdroseddwyr lefel is ddewis pryniant unwaith ac am byth hyd yn oed os yw’n sylweddol ddrytach (degau o filoedd o ddoleri ar gyfer citiau soffistigedig) gan y byddai’n anoddach iddynt gysylltu â gweithredwr RaaS pe bai’r gweithredwr yn cael ei ddal.
partneriaethau RaaS
Mae cyberattacks sy'n defnyddio ransomware angen bod gan bob haciwr dan sylw set unigryw o alluoedd.
Yn y sefyllfa hon, byddai grŵp yn dod at ei gilydd ac yn darparu cyfraniadau amrywiol i'r gweithrediad. Mae angen datblygwr cod ransomware, hacwyr rhwydwaith corfforaethol, a thrafodwr pridwerth sy'n siarad Saesneg i ddechrau.
Yn dibynnu ar eu rôl a'u harwyddocâd yn yr ymgyrch, byddai pob cyfranogwr, neu bartner, yn cytuno i rannu'r enillion.
Sut i ganfod ymosodiad RaaS?
Yn nodweddiadol, nid oes unrhyw amddiffyniad ymosodiad ransomware sy'n 100% effeithiol. Fodd bynnag, e-byst gwe-rwydo yw'r prif ddull a ddefnyddir o hyd i gyflawni ymosodiadau ransomware.
Felly, mae'n rhaid i gwmni ddarparu hyfforddiant ymwybyddiaeth gwe-rwydo i sicrhau bod gan aelodau staff y ddealltwriaeth orau bosibl o sut i adnabod e-byst gwe-rwydo.
Ar lefel dechnegol, efallai y bydd gan fusnesau dîm seiberddiogelwch arbenigol â'r dasg o chwilio am fygythiadau. Mae hela bygythiad yn ddull llwyddiannus iawn o ganfod ac atal ymosodiadau ransomware.
Mae damcaniaeth yn cael ei chreu yn y broses hon gan ddefnyddio'r wybodaeth ar fectorau ymosodiad. Mae'r helfa a data yn helpu i greu rhaglen a allai nodi achos yr ymosodiad yn gyflym a'i atal.
Er mwyn cadw llygad am ddienyddiadau ffeiliau annisgwyl, ymddygiad amheus, ac ati ar y rhwydwaith, defnyddir offer hela bygythiad. Er mwyn nodi ymosodiadau ransomware a geisiwyd, maent yn defnyddio'r oriawr ar gyfer Dangosyddion Cyfaddawd (IOCs).
Yn ogystal, defnyddir llawer o fodelau hela bygythiad sefyllfaol, pob un ohonynt wedi'i deilwra i ddiwydiant y sefydliad targed.
Enghreifftiau o RaaS
Mae awduron ransomware newydd sylweddoli pa mor broffidiol yw adeiladu busnes RaaS. Yn ogystal, bu sawl sefydliad sy'n gweithredu bygythiad yn sefydlu gweithrediadau RaaS i luosogi nwyddau pridwerth ym mron pob busnes. Dyma rai o sefydliadau RaaS:
- Darkside: Mae'n un o'r darparwyr RaaS mwyaf enwog. Yn ôl adroddiadau, y gang hwn oedd y tu ôl i'r ymosodiad ar y Piblinell Trefedigaethol ym mis Mai 2021. Credir bod DarkSide wedi dechrau ym mis Awst 2020 ac wedi cyrraedd uchafbwynt mewn gweithgaredd yn ystod misoedd cyntaf 2021.
- Dharma: Daeth Dharma Ransomware i'r wyneb yn wreiddiol yn 2016 o dan yr enw CrySis. Er y bu sawl amrywiad Dharma Ransomware dros y blynyddoedd, ymddangosodd Dharma gyntaf mewn fformat RaaS yn 2020.
- Drysfa: Fel gyda llawer o ddarparwyr RaaS eraill, daeth Maze i ben yn 2019. Yn ogystal ag amgryptio data defnyddwyr, roedd sefydliad RaaS yn bygwth rhyddhau data yn gyhoeddus mewn ymdrech i fychanu dioddefwyr. Caeodd y Maze RaaS yn ffurfiol ym mis Tachwedd 2020, er bod y rhesymau am hyn yn dal i fod braidd yn niwlog. Mae rhai academyddion, fodd bynnag, yn credu bod yr un troseddwyr wedi parhau dan amrywiol enwau, fel Egregor.
- DoppelPaymer: Mae wedi cael ei gysylltu â nifer o ddigwyddiadau, gan gynnwys un yn 2020 yn erbyn ysbyty yn yr Almaen a hawliodd fywyd claf.
- Ryuk: Er bod y RaaS yn fwy gweithgar yn 2019, credir ei fod wedi bodoli o leiaf yn 2017. Mae llawer o gwmnïau diogelwch, gan gynnwys CrowdStrike a FireEye, wedi gwadu honiadau a wnaed gan rai ymchwilwyr bod y wisg wedi'i leoli yng Ngogledd Corea.
- LockBit: Fel yr estyniad ffeil, mae'r sefydliad yn cyflogi i amgryptio ffeiliau dioddefwyr, ".abcd virus," daeth i'r amlwg gyntaf ym mis Medi 2019. Mae gallu LockBit i ymledu yn ymreolaethol dros rwydwaith targed yn un o'i nodweddion. Ar gyfer darpar ymosodwyr, mae hyn yn ei gwneud yn RaaS dymunol.
- REVIL: Er bod sawl darparwr RaaS, hwn oedd y mwyaf cyffredin yn 2021. Roedd ymosodiad Kaseya, a ddigwyddodd ym mis Gorffennaf 2021 ac a gafodd effaith ar o leiaf 1,500 o gwmnïau, yn gysylltiedig â REvil RaaS. Credir hefyd mai’r sefydliad oedd y tu ôl i ymosodiad Mehefin 2021 ar y gwneuthurwr cig JBS USA, y bu’n rhaid i’r dioddefwr dalu pridwerth o $11 miliwn amdano. Canfuwyd hefyd ei fod yn gyfrifol am ymosodiad ransomware ar y darparwr yswiriant seiber CNA Financial ym mis Mawrth 2021.
Sut i atal ymosodiadau RaaS?
Mae hacwyr RaaS yn aml yn defnyddio e-byst gwe-rwydo soffistigedig sydd wedi'u creu'n arbenigol i ymddangos yn ddilys i ddosbarthu drwgwedd. Mae angen dull rheoli risg cadarn sy'n cefnogi hyfforddiant ymwybyddiaeth diogelwch parhaus ar gyfer defnyddwyr terfynol i amddiffyn rhag campau RaaS.
Yr amddiffyniad cyntaf a'r amddiffyniad gorau yw creu diwylliant busnes sy'n hysbysu defnyddwyr terfynol am y technegau gwe-rwydo mwyaf diweddar a'r peryglon y mae ymosodiadau ransomware yn eu cynrychioli i'w cyllid a'u henw da. Mae mentrau yn hyn o beth yn cynnwys:
- Uwchraddio meddalwedd: Mae systemau gweithredu ac apiau yn aml yn cael eu hecsbloetio gan ransomware. Er mwyn helpu i atal ymosodiadau ransomware, mae'n bwysig diweddaru'r feddalwedd pan fydd clytiau a diweddariadau yn cael eu rhyddhau.
- Byddwch yn ofalus i wneud copi wrth gefn ac adfer eich data: Sefydlu strategaeth wrth gefn ac adfer data yw'r cam cyntaf ac, yn ôl pob tebyg, y cam pwysicaf. Mae data yn dod yn annefnyddiadwy i ddefnyddwyr ar ôl amgryptio gan ransomware. Gellir lleihau effaith amgryptio data gan ymosodwr os oes gan gwmni gopïau wrth gefn cyfredol y gellir eu defnyddio mewn gweithdrefn adfer.
- Atal gwe-rwydo: Mae gwe-rwydo trwy e-byst yn ddull ymosod nodweddiadol ar gyfer ransomware. Gellir atal ymosodiadau RaaS os oes rhyw fath o amddiffyniad e-bost gwrth-gwe-rwydo ar waith.
- Dilysu aml-ffactor: Mae rhai ymosodwyr ransomware yn defnyddio stwffio credadwy, sy'n cynnwys defnyddio cyfrineiriau wedi'u dwyn o un safle ar y llall. Oherwydd bod angen ail ffactor o hyd i gael mynediad, mae dilysu aml-ffactor yn lleihau effaith cyfrinair sengl sy'n cael ei orddefnyddio.
- Diogelwch ar gyfer pwyntiau terfyn XDR: Mae technolegau diogelwch endpoint a hela bygythiad, fel XDR, yn cynnig haen hanfodol ychwanegol o amddiffyniad yn erbyn nwyddau pridwerth. Mae hyn yn cynnig galluoedd canfod ac ymateb gwell sy'n helpu i leihau'r perygl o ransomware.
- cyfyngiad DNS: Mae Ransomware yn aml yn defnyddio rhyw fath o weinydd gorchymyn a rheoli (C2) i ryngwynebu â llwyfan gweithredwr RaaS. Mae ymholiad DNS bron bob amser yn ymwneud â chyfathrebu o beiriant heintiedig i'r gweinydd C2. Gall sefydliadau gydnabod pan fydd ransomware yn ceisio rhyngweithio â'r RaaS C2 ac atal y cyfathrebiadau gyda chymorth datrysiad diogelwch hidlo DNS. Gall hyn weithredu fel math o atal heintiau.
Dyfodol RaaS
Bydd ymosodiadau RaaS yn dod yn fwy cyffredin a phoblogaidd ymhlith hacwyr yn y dyfodol. Yn ôl adroddiad diweddar, roedd dros 60% o'r holl ymosodiadau seibr yn ystod y 18 mis diwethaf yn seiliedig ar RaaS.
Mae RaaS yn dod yn fwyfwy poblogaidd o ganlyniad i ba mor syml ydyw i'w ddefnyddio a'r ffaith nad oes angen unrhyw wybodaeth dechnegol. Yn ogystal, dylem baratoi ar gyfer cynnydd mewn ymosodiadau RaaS sy'n targedu seilwaith hanfodol.
Mae hyn yn cwmpasu meysydd gofal iechyd, gweinyddu, cludiant ac ynni. Mae hacwyr yn gweld y diwydiannau a sefydliadau hanfodol hyn yn fwy agored nag erioed, gan roi endidau fel ysbytai a gweithfeydd pŵer yng ngolwg ymosodiadau RaaS fel gadwyn gyflenwi materion yn parhau tan 2022.
Casgliad
I gloi, hyd yn oed os yw Ransomware-as-a-Service (RaaS) yn greadigaeth ac yn un o'r peryglon mwyaf diweddar i ysglyfaethu defnyddwyr digidol, mae'n hanfodol cymryd rhai mesurau ataliol i frwydro yn erbyn y bygythiad hwn.
Yn ogystal â rhagofalon diogelwch sylfaenol eraill, gallwch hefyd ddibynnu ar offer gwrth-malwedd blaengar i'ch amddiffyn ymhellach rhag y bygythiad hwn. Yn anffodus, mae'n ymddangos bod RaaS yma i aros am y tro.
Bydd angen cynllun technoleg a seiberddiogelwch cynhwysfawr arnoch i amddiffyn rhag ymosodiadau RaaS i leihau'r tebygolrwydd o ymosodiad RaaS llwyddiannus.
Gadael ymateb