Ransomware er næppe en helt ny trussel på internettet. Dens rødder går mange år tilbage. Denne trussel er kun blevet mere farlig og hensynsløs med tiden.
Ordet "ransomware" har vundet udbredt anerkendelse som følge af bombardementet af cyberangreb, der har gjort mange virksomheder ubrugelige i de senere år.
Alle filerne på din pc er blevet downloadet og krypteret, og så bliver din skærm sort, og en besked på snublende engelsk kommer frem.
Ydu skal betale en løsesum til sorte hat-cyberkriminelle i Bitcoin eller andre ikke-sporbare kryptovalutaer for at få en dekrypteringsnøgle eller forhindre dine følsomme data i at blive frigivet på det mørke web.
Men færre er måske opmærksomme på ransomware-as-a-Service, en velorganiseret underverdensforretningsmodel, der kan udføre disse typer angreb (eller RaaS).
I stedet for selv at udføre angreb udlejer ransomware-skabere deres dyre vira til mindre erfarne cyberkriminelle, der er klar til at påtage sig den risiko, der er forbundet med at udføre ransomware-operationer.
Hvordan fungerer det hele dog? Hvem leder hierarkiet, og hvem fungerer som mellemled? Og måske mere afgørende, hvordan kan du forsvare din virksomhed og dig selv mod disse lammende overgreb?
Fortsæt med at læse for at lære mere om RaaS.
Hvad er Ransomware as a Service (RaaS)?
Ransomware-as-a-service (RaaS) er en kriminel virksomheds forretningsmodel, der giver enhver mulighed for at slutte sig til og bruge værktøjer til at starte ransomware-angreb.
RaaS-brugere, ligesom dem, der bruger andre as-a-service-modeller såsom software-as-a-service (SaaS) eller platform-as-a-service (PaaS), lejer i stedet for at eje ransomware-tjenester.
Det er en software-as-a-service-angrebsvektor med lav kode, der gør det muligt for kriminelle at købe ransomware-software på det mørke web og udføre ransomware-angreb uden at vide, hvordan de skal kode.
E-mail-phishing-skemaer er en almindelig angrebsvektor for RaaS-sårbarheder.
Når et offer klikker på et ondsindet link i angriberens e-mail, downloades og spredes ransomwaren på den berørte maskine, hvilket deaktiverer firewalls og antivirussoftware.
RaaS-softwaren kan lede efter måder at hæve privilegier på, når ofrets perimeterforsvar er blevet overtrådt, og til sidst holde hele organisationen som gidsel ved at kryptere filer til det punkt, hvor de ikke er tilgængelige.
Når offeret er blevet informeret om angrebet, vil programmet give dem instruktioner om, hvordan de betaler løsesummen og (ideelt set) får den rigtige kryptografiske nøgle til dekryptering.
Selvom RaaS- og ransomware-sårbarheder er ulovlige, kan kriminelle, der udfører denne form for overfald, være særligt udfordrende at pågribe, fordi de bruger Tor-browsere (også kendt som løgroutere) til at få adgang til deres ofre og kræve bitcoin-løsepengebetalinger.
FBI hævder, at flere og flere malware-skabere udbreder deres skadelige LCNC-programmer (lav kode/ingen kode) til gengæld for en nedskæring af afpresningsindtægterne.
Hvordan fungerer RaaS-modellen?
Udviklere og tilknyttede virksomheder samarbejder om at udføre et effektivt RaaS-angreb. Udviklere er ansvarlige for at skrive specialiseret ransomware malware, som efterfølgende sælges til en affiliate.
Ransomware-koden og instruktionerne til at starte angrebet leveres af udviklerne. RaaS er enkelt at bruge og kræver lidt teknologisk viden.
Enhver, der har adgang til det mørke web, kan gå ind på portalen, tilslutte sig som en affiliate og starte angreb med et enkelt klik. Tilknyttede virksomheder vælger den virustype, de vil distribuere, og foretager en betaling ved hjælp af en kryptovaluta, normalt Bitcoin, for at komme i gang.
Udvikleren og affiliate deler indtjeningen, når løsesummen er betalt, og angrebet er vellykket. Typen af indtægtsmodel bestemmer, hvordan midlerne fordeles.
Lad os undersøge et par af disse ulovlige forretningsstrategier.
Affiliate RaaS
På grund af en række faktorer, herunder ransomware-gruppens brandbevidsthed, succesraterne for kampagnerne og kaliberen og variationen af de tilbudte tjenester, er underjordiske affiliate-programmer blevet en af de mest kendte former for RaaS.
Kriminelle organisationer leder ofte efter hackere, der kan komme ind i forretningsnetværk på egen hånd for at bevare deres ransomware-kode i banden. De bruger derefter virussen og hjælpen til at starte angrebet.
Men en hacker har måske ikke engang brug for dette i betragtning af den nylige stigning i virksomhedsnetværksadgang-til-salg på det mørke web for at opfylde disse kriterier.
Godt understøttede, mindre erfarne hackere lancerer højrisiko-angreb i bytte for en overskudsandel i stedet for at betale en månedlig eller årlig afgift for at bruge ransomware-koden (men af og til skal tilknyttede virksomheder muligvis betale for at spille).
Størstedelen af tiden søger ransomware-bander hackere, der er dygtige nok til at bryde ind i et firmanetværk og modige nok til at gennemføre strejken.
I dette system modtager affiliate ofte mellem 60% og 70% af løsesummen, mens de resterende 30% til 40% sendes til RaaS-operatøren.
Abonnementsbaseret RaaS
I denne taktik betaler svindlere et medlemsgebyr på regelmæssig basis for at få adgang til ransomware, teknisk support og virusopdateringer. Mange webbaserede abonnementsservicemodeller, som Netflix, Spotify eller Microsoft Office 365, kan sammenlignes med dette.
Normalt beholder ransomware-forbrydere 100 % af indtægterne fra løsepengebetalinger for sig selv, hvis de betaler for tjenesten på forhånd, hvilket kan koste $50 til hundredvis af dollars hver måned, afhængigt af RaaS-leverandøren.
Disse medlemsgebyrer repræsenterer en beskeden investering sammenlignet med den sædvanlige løsesum på omkring $220,000. Tilknyttede programmer kan naturligvis også inkorporere et pay-to-play, abonnementsbaseret element i deres planer.
Livstidstilladelse
En malware-producent kan beslutte at tilbyde pakker til en engangsbetaling og undgå at tage chancen for at blive direkte involveret i cyberangreb i stedet for at tjene tilbagevendende penge via abonnementer og overskudsdeling.
Cyberkriminelle betaler i dette tilfælde et engangsgebyr for at få livslang adgang til et ransomware-kit, som de kan bruge på enhver måde, de finder passende.
Nogle cyberkriminelle på lavere niveau kunne vælge et engangskøb, selvom det er væsentligt dyrere (titusindvis af dollars for sofistikerede sæt), da det ville være sværere for dem at oprette forbindelse til RaaS-operatøren, hvis operatøren skulle blive pågrebet.
RaaS partnerskaber
Cyberangreb, der bruger ransomware, kræver, at hver involveret hacker har et unikt sæt evner.
I dette scenarie ville en gruppe mødes og give forskellige bidrag til operationen. En ransomware-kodeudvikler, virksomhedshackere og en engelsktalende løsesum-forhandler er påkrævet for at komme i gang.
Afhængigt af deres rolle og betydning i kampagnen, vil hver deltager eller partner acceptere at dele indtjeningen.
Hvordan opdager man et RaaS-angreb?
Typisk er der ingen ransomware-angrebsbeskyttelse, der er 100 % effektiv. Phishing-e-mails forbliver dog den primære metode, der bruges til at udføre ransomware-angreb.
Derfor er en virksomhed nødt til at tilbyde phishing-bevidsthedstræning for at sikre, at medarbejderne har den bedst mulige forståelse af, hvordan man spotter phishing-e-mails.
På et teknisk niveau kan virksomheder have et specialiseret cybersikkerhedsteam, der har til opgave at udføre trusselsjagt. Trusselsjagt er en meget vellykket metode til at opdage og forhindre ransomware-angreb.
En teori skabes i denne proces ved hjælp af informationen om angrebsvektorer. Fornemmelsen og data hjælper med at skabe et program, der hurtigt kan identificere årsagen til overfaldet og stoppe det.
For at holde øje med uventede filudførelser, mistænkelig adfærd osv. på netværket, bruges trusselsjagtværktøjer. For at identificere forsøg på ransomware-angreb gør de brug af uret til Indicators of Compromise (IOC'er).
Derudover bruges mange situationsbestemte trusselsjagtmodeller, som hver især er skræddersyet til målorganisationens branche.
Eksempler på RaaS
Forfattere af ransomware er lige blevet klar over, hvor rentabelt det er at bygge en RaaS-forretning. Derudover har der været flere trusselsaktørorganisationer, der etablerer RaaS-operationer for at udbrede ransomware i næsten alle virksomheder. Dette er et par af RaaS-organisationerne:
- Mørk side: Det er en af de mest berygtede RaaS-udbydere. Ifølge rapporter stod denne bande bag angrebet på Colonial Pipeline i maj 2021. DarkSide menes at være startet i august 2020 og toppede i aktivitet i løbet af de første par måneder af 2021.
- Dharma: Dharma Ransomware dukkede oprindeligt op i 2016 under navnet CrySis. Selvom der har været adskillige Dharma Ransomware-variationer gennem årene, dukkede Dharma først op i et RaaS-format i 2020.
- Maze: Som med mange andre RaaS-udbydere debuterede Maze i 2019. Ud over at kryptere brugerdata truede RaaS-organisationen med at frigive data offentligt i et forsøg på at ydmyge ofre. Maze RaaS lukkede formelt ned i november 2020, selvom årsagerne til dette stadig er noget slørede. Nogle akademikere mener dog, at de samme lovovertrædere har holdt fast under forskellige navne, som Egregor.
- Dobbeltbetaler: Det har været forbundet med en række begivenheder, herunder en i 2020 mod et hospital i Tyskland, der kostede en patient livet.
- Ryuk: Selvom RaaS var mere aktiv i 2019, menes det at have eksisteret i det mindste i 2017. Mange sikkerhedsfirmaer, herunder CrowdStrike og FireEye, har afvist påstande fra visse forskere om, at tøjet er placeret i Nordkorea.
- LockBit: Som filtypenavnet bruger organisationen til at kryptere offerfiler, ".abcd virus", dukkede først op i september 2019. LockBits kapacitet til autonomt at sprede sig over et målnetværk er en af dens funktioner. For potentielle angribere gør dette det til et ønskeligt RaaS.
- SKYLDELSE: Selvom der er flere RaaS-udbydere, var det det mest almindelige i 2021. Kaseya-overfaldet, som fandt sted i juli 2021 og havde en indvirkning på mindst 1,500 virksomheder, var knyttet til REvil RaaS. Organisationen menes også at have stået bag angrebet i juni 2021 på kødproducenten JBS USA, som offeret skulle betale en løsesum på 11 millioner dollars for. Det blev også fundet at være ansvarligt for et ransomware-angreb på cyberforsikringsudbyderen CNA Financial i marts 2021.
Hvordan forhindrer man RaaS-angreb?
RaaS-hackere bruger oftest sofistikerede spear-phishing-e-mails, der er dygtigt skabt til at virke autentiske til at distribuere malware. En solid risikostyringstilgang, der understøtter løbende sikkerhedsbevidsthedstræning for slutbrugere, er nødvendig for at beskytte mod RaaS-udnyttelse.
Den første og bedste beskyttelse er at skabe en forretningskultur, der informerer slutbrugerne om de seneste phishing-teknikker og de farer, som ransomware-angreb udgør for deres økonomi og omdømme. Initiativer i denne forbindelse omfatter:
- Softwareopgraderinger: Operativsystemer og apps udnyttes ofte af ransomware. For at hjælpe med at stoppe ransomware-angreb er det vigtigt at opdatere softwaren, når patches og opdateringer frigives.
- Vær omhyggelig med at sikkerhedskopiere og gendanne dine data: Etablering af en strategi for sikkerhedskopiering og gendannelse af data er det første og sandsynligvis vigtigste skridt. Data bliver ubrugelige for brugere efter kryptering med ransomware. Effekten af datakryptering af en angriber kan mindskes, hvis en virksomhed har aktuelle sikkerhedskopier, der kan bruges i en gendannelsesprocedure.
- Forebyggelse af phishing: Phishing via e-mails er en typisk angrebsmetode for ransomware. RaaS-angreb kan forhindres, hvis der er en form for anti-phishing-e-mail-beskyttelse på plads.
- Multipel-faktor autentificering: Nogle ransomware-angribere bruger legitimationsoplysninger, som involverer brug af stjålne adgangskoder fra et websted på et andet. Fordi der stadig kræves en anden faktor for at få adgang, mindsker multifaktorautentificering virkningen af en enkelt adgangskode, der er overbrugt.
- Sikkerhed for XDR-endepunkter: Endpoint-sikkerhed og trusselsjagtteknologier, som XDR, tilbyder et yderligere afgørende lag af forsvar mod ransomware. Dette tilbyder forbedrede detektions- og responsfunktioner, der hjælper med at reducere faren for ransomware.
- DNS-begrænsning: Ransomware bruger ofte en form for kommando- og kontrolserver (C2) til at kommunikere med en RaaS-operatørs platform. En DNS-forespørgsel er næsten altid involveret i kommunikation fra en inficeret maskine til C2-serveren. Organisationer kan genkende, når ransomware forsøger at interagere med RaaS C2 og forhindre kommunikationen ved hjælp af en DNS-filtreringssikkerhedsløsning. Dette kan fungere som en form for infektionsforebyggelse.
RaaS' fremtid
RaaS-angreb vil blive mere udbredt og vellidt blandt hackere i fremtiden. Over 60 % af alle cyberangreb i de sidste 18 måneder var ifølge en nylig rapport RaaS-baserede.
RaaS bliver mere og mere populært som følge af, hvor enkelt det er at bruge, og det faktum, at ingen teknisk viden er nødvendig. Derudover bør vi forberede os på en stigning i RaaS-angreb, der retter sig mod vital infrastruktur.
Dette dækker områderne sundhedspleje, administration, transport og energi. Hackere betragter disse afgørende industrier og institutioner som mere udsatte end nogensinde, og sætter enheder som hospitaler og kraftværker i øjnene af RaaS-angreb som forsyningskæde problemer fortsætter indtil 2022.
Konklusion
Som konklusion, selvom Ransomware-as-a-Service (RaaS) er en skabelse og en af de seneste farer for at forgribe sig på digitale brugere, er det afgørende at træffe visse forebyggende foranstaltninger for at bekæmpe denne trussel.
Ud over andre grundlæggende sikkerhedsforanstaltninger kan du også stole på avancerede antimalware-værktøjer for yderligere at beskytte dig mod denne trussel. Desværre ser RaaS ud til at være kommet for at blive indtil videre.
Du skal bruge en omfattende teknologi- og cybersikkerhedsplan for at beskytte mod RaaS-angreb for at reducere sandsynligheden for et vellykket RaaS-angreb.
Giv en kommentar