Vaevalt on lunavara Internetis täiesti uus oht. Selle juured ulatuvad paljude aastate taha. See oht on aja jooksul muutunud ohtlikumaks ja halastamatumaks.
Sõna "lunavara" on pälvinud laialdast tuntust küberrünnakute tõttu, mis on viimastel aastatel muutnud paljud ettevõtted kasutuskõlbmatuks.
Kõik teie arvutis olevad failid on alla laaditud ja krüptitud. Seejärel läheb ekraan mustaks ja ilmub komistav ingliskeelne teade.
Ydekrüpteerimisvõtme saamiseks või oma tundlike andmete pimedas veebis avaldamise vältimiseks peate maksma lunaraha musta mütsi küberkurjategijatele Bitcoinis või muudes jälitamatutes krüptovaluutades.
Kuid vähem inimesi võib olla teadlik lunavarast teenusena – hästi organiseeritud allilma ärimudelist, mis suudab seda tüüpi rünnakuid (või RaaS) läbi viia.
Selle asemel, et ise rünnata, rendivad lunavara loojad oma kalleid viirusi välja vähem kogenud küberkurjategijatele, kes on valmis võtma lunavaraoperatsioonide läbiviimisega seotud riske.
Kuidas see kõik aga toimib? Kes juhib hierarhiat ja kes on vahendajad? Ja võib-olla veelgi olulisem, kuidas saate kaitsta oma ettevõtet ja ennast nende kurnavate rünnakute eest?
RaaS-i kohta lisateabe saamiseks jätkake lugemist.
Mis on Ransomware as a Service (RaaS)?
Ransomware-as-a-service (RaaS) on kuritegeliku ettevõtte ärimudel, mis võimaldab kõigil liituda ja kasutada tööriistu lunavararünnakute käivitamiseks.
RaaS-i kasutajad, nagu ka need, kes kasutavad muid teenusena pakutavaid mudeleid, nagu tarkvara-teenusena (SaaS) või platvorm-teenusena (PaaS), pigem üürivad lunavarateenuseid kui omavad.
See on madala koodiga tarkvara-teenusena ründevektor, mis võimaldab kurjategijatel osta pimedas veebis lunavaratarkvara ja sooritada lunavararünnakuid, teadmata, kuidas kodeerida.
Meilide andmepüügiskeemid on RaaS-i haavatavuste levinud rünnakute vektor.
Kui ohver klõpsab ründaja meilis pahatahtlikul lingil, laadib lunavara alla ja levib mõjutatud masinas, blokeerides tulemüürid ja viirusetõrjetarkvara.
RaaS-i tarkvara võib otsida võimalusi privileege tõsta, kui ohvri perimeetri kaitset on rikutud, ja lõpuks hoida kogu organisatsiooni pantvangis, krüpteerides failid nii kaugele, et neile ei pääseks ligi.
Kui ohvrit on rünnakust teavitatud, annab programm talle juhised, kuidas lunaraha maksta ja (ideaaljuhul) dekrüpteerimiseks õige krüptovõti hankida.
Kuigi RaaS ja lunavara haavatavused on ebaseaduslikud, võib seda tüüpi rünnakuid toime pannud kurjategijate tabamine olla eriti keeruline, kuna nad kasutavad oma ohvritele juurdepääsuks ja bitcoini lunaraha nõudmiseks Tori brausereid (tuntud ka kui sibula ruuterid).
FBI väidab, et üha rohkem pahavara loojaid levitab oma kahjulikke LCNC (madala koodi/koodita) programme vastutasuks väljapressimistulude kärpimise eest.
Kuidas RaaS-i mudel töötab?
Arendajad ja sidusettevõtted teevad tõhusa RaaS-i rünnaku läbiviimiseks koostööd. Arendajad vastutavad spetsiaalse lunavara pahavara kirjutamise eest, mis seejärel müüakse sidusettevõttele.
Lunavara koodi ja juhised rünnaku käivitamiseks pakuvad arendajad. RaaS-i on lihtne kasutada ja see nõuab vähe tehnoloogilisi teadmisi.
Igaüks, kellel on juurdepääs tumedale veebile, võib ühe klõpsuga siseneda portaali, liituda sidusettevõttena ja käivitada rünnakuid. Sidusettevõtted valivad viiruse tüübi, mida nad soovivad levitada, ja sooritavad alustamiseks makse krüptovaluutaga, tavaliselt Bitcoiniga.
Arendaja ja sidusettevõte jagavad tulu, kui lunaraha makstakse ja rünnak õnnestub. Tulumudeli tüüp määrab, kuidas raha jaotatakse.
Uurime mõnda neist ebaseaduslikest äristrateegiatest.
Sidusettevõte RaaS
Tänu erinevatele teguritele, sealhulgas lunavaragrupi bränditeadlikkusele, kampaaniate edukuse määrale ning pakutavate teenuste kaliibrile ja mitmekesisusele, on põrandaalused sidusprogrammid muutunud üheks RaaS-i tuntuimaks vormiks.
Kuritegelikud organisatsioonid otsivad sageli häkkereid, kes saaksid üksinda ärivõrkudesse sattuda, et hoida oma lunavarakoodi jõugu sees. Seejärel kasutavad nad viirust ja abi rünnaku käivitamiseks.
Häkker ei pruugi seda aga isegi vajada, kuna hiljuti on nende kriteeriumide täitmiseks tumeveebis suurenenud juurdepääs ettevõtte võrgule.
Hästi toetatud, vähem kogenud häkkerid korraldavad kõrge riskiga rünnakuid, et saada kasumiosa, selle asemel, et maksta lunavarakoodi kasutamise eest igakuist või iga-aastast tasu (kuid aeg-ajalt peavad sidusettevõtted mängimise eest maksma).
Enamasti otsivad lunavarajõugud häkkereid, kes on piisavalt osavad, et tungida ettevõtte võrku ja piisavalt julged, et streik läbi viia.
Selles süsteemis saab sidusettevõte sageli 60–70% lunarahast, ülejäänud 30–40% saadetakse RaaS-i operaatorile.
Tellimuspõhine RaaS
Selle taktika kohaselt maksavad petturid regulaarselt liikmemaksu, et pääseda ligi lunavarale, tehnilisele toele ja viirusevärskendustele. Paljud veebipõhised tellimusteenuste mudelid, nagu Netflix, Spotify või Microsoft Office 365, on sellega võrreldavad.
Tavaliselt jätavad lunavara rikkujad endale 100% lunarahamaksete tulust, kui nad maksavad teenuse eest ette, mis võib olenevalt RaaS-i tarnijast maksta 50 kuni sadu dollareid kuus.
Need liikmemaksud kujutavad endast tagasihoidlikku investeeringut võrreldes tavapärase lunarahamaksega, mis on umbes 220,000 XNUMX dollarit. Muidugi võivad sidusprogrammid oma plaanidesse lisada ka tasulise, abonemendipõhise elemendi.
Eluaegne luba
Pahavaratootja võib otsustada pakkuda pakette ühekordse tasu eest ja vältida võimalust sattuda otse küberrünnakutesse, selle asemel et teenida korduvat raha tellimuste ja kasumijagamise kaudu.
Küberkurjategijad maksavad sel juhul ühekordset tasu, et saada eluaegne juurdepääs lunavarakomplektile, mida nad saavad kasutada mis tahes viisil, mida nad sobivaks peavad.
Mõned madalama taseme küberkurjategijad võiksid valida ühekordse ostu ka siis, kui see on oluliselt kallim (keerukate komplektide puhul kümneid tuhandeid dollareid), kuna operaatori tabamise korral oleks neil keerulisem RaaS-i operaatoriga ühendust saada.
RaaS partnerlussuhted
Lunavara kasutavad küberrünnakud nõuavad, et igal kaasatud häkkeril oleks ainulaadsed võimed.
Selle stsenaariumi korral koguneks rühm ja annaks operatsioonile erineva panuse. Alustamiseks on vaja lunavarakoodi arendajat, ettevõtte võrgu häkkereid ja inglise keelt kõnelevat lunaraha läbirääkijat.
Olenevalt oma rollist ja tähtsusest kampaanias nõustub iga osaleja või partner tulu jagama.
Kuidas tuvastada RaaS-i rünnak?
Tavaliselt puudub 100% tõhus lunavararünnakute kaitse. Andmepüügimeilid jäävad siiski peamiseks meetodiks lunavararünnakute läbiviimisel.
Seetõttu peab ettevõte pakkuma andmepüügiteadlikkuse tõstmise koolitust, et töötajatel oleks parim võimalik arusaam andmepüügimeilide tuvastamisest.
Tehnilisel tasandil võib ettevõtetel olla spetsiaalne küberjulgeolekumeeskond, kelle ülesandeks on ohtude otsimine. Ohujaht on väga edukas meetod lunavararünnakute tuvastamiseks ja ennetamiseks.
Selle protsessi käigus luuakse teooria, kasutades teavet rünnakuvektorite kohta. Aimatus ja andmed aitavad luua programmi, mis suudab kiiresti tuvastada rünnaku põhjuse ja selle peatada.
Et hoida silma peal ootamatute failide täitmise, kahtlase käitumise jms võrgus, kasutatakse ohtude otsimise tööriistu. Lunavararünnakute katsete tuvastamiseks kasutavad nad kompromissiindikaatorite (IOC) kella.
Lisaks kasutatakse palju olukorrast lähtuvaid ohtude otsimise mudeleid, millest igaüks on kohandatud sihtorganisatsiooni valdkonnaga.
Näited RaaS-ist
Lunavara autorid on just jõudnud arusaamisele, kui tulus on RaaS-i äri üles ehitada. Lisaks on mitmed ohus osalejate organisatsioonid asutanud RaaS-i operatsioone, et levitada lunavara peaaegu igas ettevõttes. Need on mõned RaaS-i organisatsioonid:
- tume pool: See on üks kurikuulsamaid RaaS-i pakkujaid. Aruannete kohaselt oli see jõuk 2021. aasta mais Colonial Pipeline'i rünnaku taga. Arvatakse, et DarkSide sai alguse 2020. aasta augustis ja saavutas aktiivsuse haripunkti 2021. aasta esimestel kuudel.
- Dharma: Dharma Ransomware ilmus algselt 2016. aastal nime all CrySis. Kuigi aastate jooksul on olnud mitmeid Dharma Ransomware variatsioone, ilmus Dharma esmakordselt RaaS-vormingus 2020. aastal.
- Rägastik: Nagu paljude teiste RaaS-i pakkujate puhul, debüteeris Maze 2019. aastal. Lisaks kasutajaandmete krüpteerimisele ähvardas RaaS-i organisatsioon ohvrite alandamiseks andmeid avalikult avaldada. Maze RaaS suleti ametlikult 2020. aasta novembris, ehkki selle põhjused on endiselt mõnevõrra hägused. Mõned teadlased aga usuvad, et samad kurjategijad on püsinud erinevate nimede all, nagu Egregor.
- DoppelMaksja: Seda on seostatud mitme sündmusega, sealhulgas ühega 2020. aastal Saksamaa haigla vastu, mis nõudis patsiendi elu.
- Ryuk: Kuigi RaaS oli aktiivsem 2019. aastal, arvatakse, et see eksisteeris vähemalt 2017. aastal. Paljud turvafirmad, sealhulgas CrowdStrike ja FireEye, on eitanud teatud teadlaste väiteid, et riietus asub Põhja-Koreas.
- LockBit: Faililaiendusena kasutab organisatsioon ohvrifailide krüptimiseks .abcd viirust, mis ilmus esmakordselt 2019. aasta septembris. Üks selle funktsioonidest on LockBiti võime iseseisvalt sihtvõrgus levida. Võimalike ründajate jaoks muudab see ihaldusväärseks RaaS-i.
- REVIL: Kuigi RaaS-i pakkujaid on mitu, oli see 2021. aastal kõige levinum. 2021. aasta juulis toimunud Kaseya rünnak, mis avaldas mõju vähemalt 1,500 ettevõttele, oli seotud REvil RaaS-iga. Organisatsioon arvatakse olevat ka 2021. aasta juunis toimunud rünnaku taga lihatootjale JBS USA, mille eest pidi ohver maksma 11 miljonit dollarit lunaraha. Samuti leiti, et see vastutab lunavararünnaku eest küberkindlustuse pakkujale CNA Financial 2021. aasta märtsis.
Kuidas ennetada RaaS-i rünnakuid?
RaaS-i häkkerid kasutavad pahavara levitamiseks kõige sagedamini keerukaid andmepüügimeile, mis on asjatundlikult loodud nii, et need näivad autentsed. RaaS-i ärakasutamise eest kaitsmiseks on vajalik kindel riskijuhtimise lähenemisviis, mis toetab lõppkasutajate pidevat turvateadlikkuse koolitust.
Esimene ja parim kaitse on luua ärikultuur, mis teavitab lõppkasutajaid uusimatest andmepüügitehnikatest ja ohtudest, mida lunavararünnakud nende rahandusele ja mainele kujutavad. Sellega seotud algatused hõlmavad järgmist:
- Tarkvara uuendused: lunavara kasutab sageli ära operatsioonisüsteeme ja rakendusi. Lunavararünnakute peatamiseks on oluline tarkvara värskendada, kui paigad ja värskendused avaldatakse.
- Olge oma andmete varundamisel ja taastamisel ettevaatlik: Andmete varundamise ja taastamise strateegia loomine on esimene ja ilmselt kõige olulisem samm. Andmed muutuvad kasutajate jaoks kasutuskõlbmatuks pärast lunavaraga krüptimist. Andmete krüptimise mõju ründaja poolt võib väheneda, kui ettevõttel on praegused varukoopiad, mida saab taastamisprotseduuril kasutada.
- Andmepüügi ennetamine: Meilide kaudu õngitsemine on tüüpiline lunavara rünnakumeetod. RaaS-i rünnakuid saab ära hoida, kui on olemas mingi andmepüügivastane meilikaitse.
- Mitmefaktoriline autentimine: Mõned lunavararündajad kasutavad mandaatide täitmist, mis hõlmab ühelt saidilt teiselt varastatud paroolide kasutamist. Kuna juurdepääsu saamiseks on endiselt vaja teist tegurit, vähendab mitmefaktoriline autentimine ühe ülekasutatud parooli mõju.
- XDR-i lõpp-punktide turvalisus: lõpp-punkti turvalisuse ja ohtude otsimise tehnoloogiad, nagu XDR, pakuvad täiendavat olulist kaitsekihti lunavara vastu. See pakub täiustatud tuvastamis- ja reageerimisvõimalusi, mis aitavad vähendada lunavaraohtu.
- DNS-i piirang: Ransomware kasutab RaaS-i operaatori platvormiga liidestamiseks sageli mingit käsu- ja juhtimisserverit (C2). DNS-päring on peaaegu alati seotud suhtlusega nakatunud masinast C2-serverisse. Organisatsioonid saavad DNS-i filtreerimise turvalahenduse abil ära tunda, kui lunavara üritab suhelda RaaS C2-ga, ja takistada suhtlust. See võib toimida teatud tüüpi infektsioonide ennetamiseks.
RaaS-i tulevik
RaaS-i rünnakud muutuvad tulevikus häkkerite seas levinumaks ja populaarsemaks. Värske raporti kohaselt oli üle 60% kõigist viimase 18 kuu küberrünnakutest RaaS-põhised.
RaaS muutub üha populaarsemaks tänu selle kasutamise lihtsusele ja asjaolule, et tehnilisi teadmisi pole vaja. Lisaks peaksime valmistuma elutähtsa infrastruktuuri vastu suunatud RaaS-i rünnakute suurenemiseks.
See hõlmab tervishoiu, halduse, transpordi ja energeetika valdkondi. Häkkerid peavad neid olulisi tööstusharusid ja institutsioone rohkem paljastatuks kui kunagi varem, pannes sellised üksused nagu haiglad ja elektrijaamad RaaS-i rünnakute vaatevälja. tarneahelas probleemid jätkuvad kuni 2022. aastani.
Järeldus
Kokkuvõtteks võib öelda, et isegi kui Ransomware-as-a-Service (RaaS) on looming ja üks viimaseid ohte, mida digitaalsed kasutajad ähvardavad, on selle ohuga võitlemiseks ülioluline võtta teatavaid ennetavaid meetmeid.
Lisaks muudele põhilistele turvameetmetele võite end selle ohu eest veelgi paremini kaitsta. Kahjuks näib RaaS praegu olevat siia, et jääda.
RaaS-i rünnakute eest kaitsmiseks vajate terviklikku tehnoloogia- ja küberturvalisuse plaani, et vähendada eduka RaaS-i rünnaku tõenäosust.
Jäta vastus