Ransomwarea ez da ia mehatxu berri bat Interneten. Bere sustraiak urte askotakoak dira. Mehatxu hau arriskutsuagoa eta gupidagabeago bihurtu da denborarekin.
"Ransomware" hitzak aitorpen zabala lortu du azken urteotan negozio asko erabilezin bihurtu dituen zibererasoen bonbardaketaren ondorioz.
Zure ordenagailuko fitxategi guztiak deskargatu eta enkriptatu dira, eta, ondoren, zure pantaila beltz geratuko da eta ingelesez estropezuan dagoen mezu bat agertzen da.
YErreskate bat ordaindu behar diezu black hat ziberkriminalei Bitcoin-en edo atzeman ezin diren beste kriptografia-monetan deszifratzeko gako bat lortzeko edo zure datu sentikorrak sare ilunean kaleratzea saihesteko.
Baina gutxiagok ezagutzen dute ransomware-as-a-Service, eraso mota hauek (edo RaaS) egin ditzakeen lurpeko negozio-eredu ongi antolatua.
Erasoak beraiek egin beharrean, ransomware sortzaileek beren birus garestiak alokatzen dizkiete esperientzia gutxiago duten ziber-kriminalei, ransomware eragiketak egitearekin lotutako arriskua hartzeko prest daudenak.
Nola funtzionatzen du, ordea? Nork zuzentzen du hierarkia eta nork funtzionatzen du bitartekari gisa? Eta agian erabakigarriagoa dena, nola defendatu dezakezu zure negozioa eta zeure burua eraso lazgarri hauen aurka?
Jarraitu irakurtzen RaaS-i buruz gehiago jakiteko.
Zer da Ransomware Zerbitzu gisa (RaaS)?
Ransomware-as-a-service (RaaS) enpresa kriminalaren negozio-eredu bat da, edonork elkartzeko eta ransomware erasoak abiarazteko tresnak erabiltzeko aukera ematen diona.
RaaS erabiltzaileek, zerbitzu gisa beste zerbitzu eredu batzuk erabiltzen dituztenek bezala, hala nola, software gisa zerbitzu gisa (SaaS) edo plataforma gisa zerbitzu gisa (PaaS), alokatzen dituzte ransomware-zerbitzuak izan beharrean.
Kode baxuko software-zerbitzu gisako eraso-bektore bat da, gaizkileek ransomware softwarea web ilunean erosteko eta ransomware erasoak egiteko nola kodetzen jakin gabe.
Posta elektronikoaren phishing-eskemak eraso-bektore arruntak dira RaaS ahultasunetarako.
Biktima batek erasotzailearen posta elektronikoko esteka gaizto batean klik egiten duenean, ransomwarea kaltetutako makinan deskargatzen eta hedatzen da, suebakiak eta birusen aurkako softwarea desgaituz.
RaaS softwareak biktimen perimetroko defentsak urratu ondoren pribilegioak igotzeko moduak bilatu ditzake eta, azkenean, erakunde osoa bahituta eduki dezake fitxategiak enkriptatuz, eskuraezinak diren punturaino.
Behin biktimari erasoaren berri eman ondoren, programak erreskatea ordaintzeko argibideak emango dizkio eta (egokiena) deszifratzeko gako kriptografiko egokia lortzeko.
RaaS eta ransomwarearen ahultasunak legez kanpokoak diren arren, eraso mota hau egiten duten gaizkileek atzematea bereziki zaila izan daiteke Tor arakatzaileak (tipula bideratzaileak ere ezagutzen direnak) erabiltzen dituztelako beren biktimetara sartzeko eta bitcoin erreskate ordainketak eskatzeko.
FBIk dio gero eta malware sortzaile gehiagok beren LCNC (kode baxua/koderik gabe) programa kaltegarriak zabaltzen ari direla estortsioaren irabaziaren truke.
Nola funtzionatzen du RaaS ereduak?
Garatzaileek eta afiliatuek elkarlanean aritzen dira RaaS eraso eraginkorra burutzeko. Garatzaileek ransomware malware espezializatua idazteaz arduratzen dira, gero afiliatu bati saltzen zaiona.
Ransomware kodea eta erasoa abiarazteko argibideak garatzaileek ematen dituzte. RaaS erabiltzeko erraza da eta ezagutza teknologiko gutxi behar du.
Web ilunerako sarbidea duen edonork atarian sartu, afiliatu gisa sartu eta erasoak abiarazi ditzake klik bakar batekin. Afiliatuek banatu nahi duten birus mota aukeratzen dute eta ordainketa bat egiten dute kriptomoneta erabiliz, normalean Bitcoin, hasteko.
Garatzaileak eta afiliatuak irabaziak banatzen dituzte erreskatea ordaintzen denean eta erasoa arrakastatsua denean. Diru-sarreren eredu motak funtsak nola esleitzen diren zehazten du.
Azter ditzagun legez kanpoko negozio-estrategia horietako batzuk.
RaaS afiliatua
Hainbat faktore direla eta, besteak beste, ransomware taldearen markaren kontzientzia, kanpainen arrakasta-tasak eta eskaintzen diren zerbitzuen kalibrea eta aniztasuna, lurpeko afiliazio-programak RaaS-en forma ezagunenetako bat bihurtu dira.
Erakunde kriminalek maiz bilatzen dituzte beren kabuz negozio-sareetan sartu daitezkeen hackerrak, euren ransomware kodea kuadrillan mantentzeko. Ondoren, birusa eta laguntza erabiltzen dute erasoa abiarazteko.
Hala ere, baliteke hacker batek hori ere behar ez izatea, sare iluneko sare korporatiboen salmentarako sarbidearen azken igoera kontuan hartuta, irizpide horiek betetzeko.
Ondo lagunduta, esperientzia gutxiago duten hackerrek arrisku handiko erasoak abiarazten dituzte irabazien partaidetzaren truke, ransomware kodea erabiltzeko hilero edo urteko komisio bat ordaindu beharrean (baina noizean behin afiliatuek ordaindu beharko dute jolasteko).
Gehienetan, ransomware taldeek enpresa-sare batean sartzeko adina trebeak eta greba egiteko adina ausartak bilatzen dituzte hackerrak.
Sistema honetan, afiliatuak askotan erreskatearen % 60 eta % 70 artean jasotzen du, gainerako % 30 eta % 40 RaaS operadoreari bidaltzen zaiolarik.
Harpidetzan oinarritutako RaaS
Taktika honetan, iruzurgileek bazkidetza-kuota bat ordaintzen dute erregularki ransomware, laguntza teknikoa eta birusen eguneraketak eskuratzeko. Web-oinarritutako harpidetza-zerbitzu eredu asko, Netflix, Spotify edo Microsoft Office 365 bezalakoak, honen parekoak dira.
Normalean, ransomware delitugileek erreskate ordainketen diru-sarreren % 100 beretzat gordetzen dute zerbitzua aldez aurretik ordaintzen badute, eta horrek hilero 50 $ eta ehunka dolar balio dezake, RaaS hornitzailearen arabera.
Bazkide kuota hauek inbertsio xumea suposatzen dute 220,000 dolar inguruko ohiko erreskatearen ordainketarekin alderatuta. Jakina, afiliazio-programek ordaintzeko eta harpidetzan oinarritutako elementu bat ere sar dezakete beren planetan.
Bizi osorako baimena
Malware ekoizle batek ordainketa bakarreko paketeak eskaintzea erabaki dezake eta zibererasoetan zuzenean parte hartzeko aukerarik ez hartzea erabaki dezake harpidetzen eta irabazien partekatzearen bidez behin eta berriz dirua irabazi beharrean.
Kasu honetan, ziberkriminalek behin-behineko kargu bat ordaintzen dute ransomware-ko kit batera bizitza osorako sarbidea lortzeko, egoki ikusten duten moduan erabil dezaketela.
Maila baxuagoko ziberkriminal batzuek behin-behineko erosketa hauta dezakete, nahiz eta nabarmen garestiagoa izan (hamarka mila dolar kit sofistikatuetarako), zailagoa izango litzatekeelako RaaS operadorearekin konektatzea operadorea atzemanez gero.
RaaS lankidetzak
Ransomwarea erabiltzen duten zibererasoek parte hartzen duten hacker bakoitzak gaitasun multzo berezia izan behar du.
Eszenatoki honetan, talde bat elkartuko litzateke eta eragiketari hainbat ekarpen emango lioke. Hasteko, ransomware-kodeen garatzaile bat, sare korporatiboko hacker-ak eta ingelesez hitz egiten duen erreskatearen negoziatzaile bat behar dira.
Kanpainan duten rolaren eta garrantziaren arabera, parte-hartzaile edo bazkide bakoitzak irabaziak banatzea onartuko luke.
Nola detektatu RaaS eraso bat?
Normalean, ez dago % 100 eraginkorra den ransomware-aren eraso babesik. Hala ere, phishing mezu elektronikoak ransomware erasoak egiteko erabiltzen den metodo nagusia izaten jarraitzen dute.
Hori dela eta, enpresa batek phishing-aren inguruko prestakuntza eman behar du langileek phishing-mezuak nola antzemateko ahalik eta ondoen ulertzen dutela ziurtatzeko.
Maila teknikoan, enpresek zibersegurtasun talde espezializatu bat izan dezakete mehatxuen ehiza egiteko ardura. Mehatxuen ehiza ransomware erasoak detektatzeko eta saihesteko metodo oso arrakastatsua da.
Prozesu honetan teoria bat sortzen da eraso-bektoreei buruzko informazioa erabiliz. Hunch eta datuek erasoaren kausa azkar identifikatu eta geldiarazteko programa bat sortzen laguntzen dute.
Sarean ustekabeko fitxategien exekuzioak, portaera susmagarriak eta abar zaintzeko, mehatxuak ehizatzeko tresnak erabiltzen dira. Ransomware erasoak identifikatzeko, Konpromisoaren Adierazleen (IOC) erlojua erabiltzen dute.
Gainera, egoera-mehatxuen ehiza-eredu asko erabiltzen dira, eta horietako bakoitza xede-erakundearen industriara egokituta dago.
RaaS-en adibideak
Ransomwarearen egileak konturatu berri dira zein errentagarria den RaaS negozio bat eraikitzea. Gainera, hainbat mehatxu eragile erakunde egon dira ia negozio guztietan ransomwarea hedatzeko RaaS eragiketak ezartzen dituztenak. Hauek dira RaaS erakundeetako batzuk:
- Alde iluna: RaaS hornitzaile ospetsuenetako bat da. Txostenen arabera, koadrila hau 2021eko maiatzean Colonial Pipelineren aurkako erasoaren atzean egon zen. DarkSide 2020ko abuztuan hasi zela uste da eta 2021eko lehen hilabeteetan jarduera gorena izan zuen.
- Dharma: Dharma Ransomware jatorriz 2016an agertu zen CrySis izenarekin. Urteetan zehar Dharma Ransomware-ren aldaera ugari egon badira ere, Dharma RaaS formatuan agertu zen lehen aldiz 2020an.
- Maze: RaaS hornitzaile askorekin gertatzen den bezala, Maze 2019an estreinatu zen. Erabiltzaileen datuak enkriptatzeaz gain, RaaS erakundeak datuak publikoki kaleratzeko mehatxu egin zuen biktimak umiliatzeko ahaleginean. Maze RaaS formalki itxi zen 2020ko azaroan, nahiz eta horren arrazoiak oraindik lauso samarrak diren. Zenbait akademikok, ordea, uste dute delitugile berberek hainbat izenekin iraun dutela, Egregor bezala.
- DoppelPaymer: Hainbat gertaerarekin lotuta egon da, besteak beste, 2020an gaixo baten bizitza erreklamatu zuen Alemaniako ospitale baten aurka.
- Ryuk: 2019an RaaS aktiboagoa izan bazen ere, 2017an gutxienez existitu zela uste da. Segurtasun-enpresa askok, CrowdStrike eta FireEye barne, ukatu egin dituzte zenbait ikertzailek jantzia Ipar Korean dagoela esandakoa.
- LockBit: Fitxategi-luzapen gisa, erakundeak biktimen fitxategiak enkriptatzeko erabiltzen du, ".abcd birusa", 2019ko irailean agertu zen lehen aldiz. LockBit-ek helburu sare batean modu autonomoan zabaltzeko duen gaitasuna da bere ezaugarrietako bat. Erasotzaileentzat, honek RaaS desiragarria bihurtzen du.
- Gaitza: RaaS hornitzaile batzuk badaude ere, 2021ean ohikoena izan zen. 2021eko uztailean gertatu zen eta gutxienez 1,500 enpresetan eragina izan zuen Kaseya erasoa REvil RaaSrekin lotuta zegoen. Erakundea ere uste da 2021eko ekainean JBS USA haragi fabrikatzailearen aurkako erasoaren atzean egon zela, biktimak 11 milioi dolar erreskate bat ordaindu behar izan zuelako. 2021eko martxoan CNA Financial ziber aseguru hornitzailearen aurkako ransomware eraso baten erantzule zela ere aurkitu zen.
Nola saihestu RaaS erasoak?
RaaS hacker-ek maiz erabiltzen dituzte malwarea banatzeko benetakoak diruditen spear-phishing-eko mezu elektroniko sofistikatuak. Azken erabiltzaileentzako etengabeko segurtasun-kontzientziarako prestakuntza onartzen duen arriskuak kudeatzeko ikuspegi sendo bat beharrezkoa da RaaS ustiapenetatik babesteko.
Lehena eta babes onena azken erabiltzaileei phishing-teknik berrienei eta ransomware-aren erasoek finantzak eta ospeari eragiten dieten arriskuen berri ematen dien negozio-kultura sortzea da. Honen inguruko ekimenak honako hauek dira:
- Software bertsio berritzeko: Sistema eragileak eta aplikazioak maiz ustiatzen ditu ransomwareak. Ransomware erasoak gelditzen laguntzeko, garrantzitsua da softwarea eguneratzea adabakiak eta eguneraketak askatzen direnean.
- Kontuz ibili zure datuen babeskopiak eta leheneratu: Datuen babeskopia eta berreskuratze estrategia bat ezartzea da lehen urratsa eta, ziurrenik, garrantzitsuena. Datuak erabiltzaileentzat erabilezin bihurtzen dira ransomwarearen bidez enkriptatu ondoren. Erasotzaile batek datuen enkriptatzearen eragina murriztu egin daiteke enpresa batek berreskuratzeko prozedura batean erabil daitezkeen uneko babeskopiak baditu.
- Phishingaren prebentzioa: Posta elektronikoen bidez phishinga ransomwarearen eraso-metodo tipikoa da. RaaS erasoak saihestu daitezke phishing-aren aurkako posta elektronikoaren babes moduko bat badago.
- Faktore anitzeko autentifikazioa: Ransomware erasotzaile batzuek kredentzialak betetzea erabiltzen dute, hau da, gune batetik bestera lapurtutako pasahitzak erabiltzea dakar. Atzitzeko bigarren faktore bat oraindik beharrezkoa denez, faktore anitzeko autentifikazioak gehiegi erabiltzen den pasahitz bakarraren eragina murrizten du.
- XDR amaierako puntuetarako segurtasuna: Amaierako segurtasun- eta mehatxuen ehiza-teknologiek, XDR bezalakoek, ransomwarearen aurkako defentsa-geruza erabakigarria eskaintzen dute. Honek ransomwarearen arriskua murrizten laguntzen duten detekzio eta erantzun ahalmen hobeak eskaintzen ditu.
- DNS murrizketa: Ransomware-ak maiz erabiltzen du komando eta kontrol (C2) zerbitzari motaren bat RaaS operadore baten plataformarekin konektatzeko. DNS kontsulta batek kutsatutako makina batetik C2 zerbitzarirako komunikazioetan parte hartzen du ia beti. Erakundeek ransomwarea RaaS C2-rekin elkarreraginean saiatzen ari denean antzeman dezakete eta DNS iragazteko segurtasun-soluzio baten laguntzarekin komunikazioak eragozten dituzte. Horrek infekzioen prebentzio mota gisa jardun dezake.
RaaS-en etorkizuna
RaaS erasoak hackerren artean gehiago eta gustukoagoak izango dira etorkizunean. Azken 60 hilabeteetako zibereraso guztien % 18 baino gehiago, azken txosten baten arabera, RaaS-n oinarritutakoak izan ziren.
RaaS gero eta ezagunagoa da erabiltzeko erraza den eta ezagutza teknikorik behar ez delako. Gainera, ezinbesteko azpiegiturak helburu dituzten RaaS erasoak areagotzeko prestatu beharko genuke.
Honek osasunaren, administrazioaren, garraioaren eta energiaren arloak hartzen ditu. Hackerrek industria eta erakunde erabakigarri hauek inoiz baino jasango dituztela ikusten dute, ospitaleak eta zentral elektrikoak bezalako entitateak RaaS erasoen begirada gisa jarriz. hornidura-katean gaiek 2022ra arte jarraitzen dute.
Ondorioa
Amaitzeko, nahiz eta Ransomware-as-a-Service (RaaS) erabiltzaile digitalak harrapatzeko sorkuntza eta arrisku berrienetako bat izan, funtsezkoa da mehatxu horri aurre egiteko prebentzio-neurri batzuk hartzea.
Oinarrizko segurtasun neurriez gain, malwarearen aurkako puntako tresnetan ere fidatu zaitezke mehatxu honetatik gehiago babesteko. Tamalez, RaaS badirudi oraingoz hemen egoteko.
Teknologia eta zibersegurtasun plan integral bat beharko duzu RaaS erasoetatik babesteko, RaaS eraso arrakastatsu bat izateko probabilitatea murrizteko.
Utzi erantzun bat