Ransomware on tuskin aivan uusi uhka Internetissä. Sen juuret ulottuvat monien vuosien taakse. Tämä uhka on vain kasvanut vaarallisemmaksi ja armottomaksi ajan myötä.
Sana "lunnasohjelmat" on saanut laajaa tunnustusta kyberhyökkäysten seurauksena, jotka ovat tehneet monet yritykset käyttökelvottomiksi viime vuosina.
Kaikki tietokoneellasi olevat tiedostot on ladattu ja salattu, minkä jälkeen näyttö pimenee ja englanninkielinen viesti tulee näkyviin.
YSinun on maksettava lunnaita mustahattuisille kyberrikollisille Bitcoinissa tai muissa jäljittämättömissä kryptovaluutoissa saadaksesi salauksen purkuavaimen tai estääksesi arkaluonteisten tietojesi julkaisemisen pimeässä verkossa.
Harvemmat saattavat kuitenkin olla tietoisia ransomware-as-a-Servicesta, hyvin organisoidusta alamaailman liiketoimintamallista, joka voi suorittaa tämäntyyppisiä hyökkäyksiä (tai RaaS).
Sen sijaan, että he tekisivät itse hyökkäyksiä, he vuokraavat kalliita viruksiaan vähemmän kokeneille verkkorikollisille, jotka ovat valmiita ottamaan ransomware-toimintojen suorittamiseen liittyvän riskin.
Miten se kaikki kuitenkin toimii? Kuka johtaa hierarkiaa ja kuka toimii välittäjinä? Ja mikä vielä tärkeämpää, kuinka voit puolustaa yritystäsi ja itseäsi näitä lamauttavia hyökkäyksiä vastaan?
Jatka lukemista saadaksesi lisätietoja RaaS:stä.
Mikä on Ransomware as a Service (RaaS)?
Ransomware-as-a-service (RaaS) on rikollinen yritystoimintamalli, jonka avulla kuka tahansa voi liittyä ja käyttää työkaluja ransomware-hyökkäysten käynnistämiseen.
RaaS-käyttäjät, kuten ne, jotka käyttävät muita palvelumalleja, kuten ohjelmistoa palveluna (SaaS) tai alustana palveluna (PaaS), vuokraavat mieluummin kuin omistavat kiristysohjelmapalveluita.
Se on alhaisen koodin ohjelmistona palveluna toimiva hyökkäysvektori, jonka avulla rikolliset voivat ostaa kiristyshaittaohjelmia pimeässä verkossa ja suorittaa kiristysohjelmahyökkäyksiä tietämättä kuinka koodata.
Sähköpostien tietojenkalastelujärjestelmät ovat yleinen hyökkäysvektori RaaS-haavoittuvuuksille.
Kun uhri napsauttaa haitallista linkkiä hyökkääjän sähköpostissa, kiristysohjelma latautuu ja leviää kyseiselle koneelle, mikä poistaa palomuurit ja virustorjuntaohjelmistot käytöstä.
RaaS-ohjelmisto voi etsiä tapoja nostaa etuoikeuksia, kun uhrin suojakehä on rikottu, ja lopulta pitää koko organisaation panttivankina salaamalla tiedostot siihen pisteeseen, jossa niihin ei päästä.
Kun uhri on saanut tiedon hyökkäyksestä, ohjelma antaa hänelle ohjeet lunnaiden maksamiseen ja (ihannetapauksessa) oikean salausavaimen saamiseen salauksen purkamista varten.
Vaikka RaaS- ja kiristysohjelmien haavoittuvuudet ovat laittomia, tällaisen hyökkäyksen suorittaneet rikolliset voivat olla erityisen haastavia kiinni saada, koska he käyttävät Tor-selaimia (tunnetaan myös nimellä sipulireitittimet) saadakseen pääsyn uhreilleen ja vaatimaan bitcoin-lunnasmaksuja.
FBI väittää, että yhä useammat haittaohjelmien tekijät levittävät haitallisia LCNC-ohjelmiaan (low code/no code) vastineeksi kiristystulojen leikkaamisesta.
Miten RaaS-malli toimii?
Kehittäjät ja tytäryhtiöt tekevät yhteistyötä tehokkaan RaaS-hyökkäyksen toteuttamiseksi. Kehittäjät ovat vastuussa erikoistuneiden kiristyshaittaohjelmien kirjoittamisesta, jotka myydään myöhemmin tytäryhtiölle.
Ransomware-koodi ja ohjeet hyökkäyksen käynnistämiseen ovat kehittäjät. RaaS on helppokäyttöinen ja vaatii vähän teknistä tietämystä.
Jokainen, jolla on pääsy pimeään verkkoon, voi päästä portaaliin, liittyä kumppaniksi ja käynnistää hyökkäyksiä yhdellä napsautuksella. Tytäryhtiöt valitsevat levitettävän viruksen ja suorittavat maksun käyttämällä kryptovaluuttaa, yleensä Bitcoinia, aloittaakseen.
Kehittäjä ja tytäryhtiö jakavat tulot, kun lunnaat maksetaan ja hyökkäys onnistuu. Tulomallin tyyppi määrittää, miten varat kohdennetaan.
Tarkastellaanpa muutamia näistä laittomista liiketoimintastrategioista.
Yhteistyökumppani RaaS
Useista eri tekijöistä, mukaan lukien ransomware-ryhmän bränditietoisuus, kampanjoiden onnistumisasteet sekä tarjottavien palveluiden kaliiperi ja monipuolisuus, maanalaisista kumppanuusohjelmista on tullut yksi RaaS:n tunnetuimmista muodoista.
Rikolliset organisaatiot etsivät usein hakkereita, jotka voivat päästä itse yritysverkostoihin säilyttääkseen kiristysohjelmakoodinsa jengin sisällä. Sitten he käyttävät virusta ja apua hyökkäyksen käynnistämiseen.
Hakkeri ei kuitenkaan välttämättä edes tarvitse tätä, koska äskettäin on noussut yritysten verkkoon pääsy pimeässä verkossa täyttääkseen nämä kriteerit.
Hyvin tuetut, vähemmän kokeneet hakkerit käynnistävät korkean riskin hyökkäyksiä vastineeksi voittoosuudesta sen sijaan, että he maksaisivat kuukausi- tai vuosimaksun kiristysohjelmakoodin käytöstä (mutta toisinaan tytäryritykset saattavat joutua maksamaan pelaamisesta).
Suurimman osan ajasta lunnasohjelmajengit etsivät hakkereita, jotka ovat tarpeeksi taitavia murtautuakseen yrityksen verkostoon ja riittävän rohkeita toteuttamaan lakon.
Tässä järjestelmässä tytäryhtiö saa usein 60–70 prosenttia lunnaista, ja loput 30–40 prosenttia lähetetään RaaS-operaattorille.
Tilauspohjainen RaaS
Tällä taktiikalla huijarit maksavat jäsenmaksun säännöllisesti saadakseen pääsyn kiristysohjelmiin, tekniseen tukeen ja viruspäivityksiin. Monet verkkopohjaiset tilauspalvelumallit, kuten Netflix, Spotify tai Microsoft Office 365, ovat verrattavissa tähän.
Normaalisti ransomware-rikolliset pitävät 100 % lunnaiden maksuista saamistaan tuloista itselleen, jos he maksavat palvelusta etukäteen, mikä saattaa maksaa 50–satoja dollareita kuukaudessa, riippuen RaaS-toimittajasta.
Nämä jäsenmaksut ovat vaatimaton investointi verrattuna tavanomaiseen noin 220,000 XNUMX dollarin lunnaisiin. Tietenkin kumppaniohjelmat voivat sisällyttää suunnitelmiinsa myös pay-to-play, tilauspohjaisen elementin.
Elinikäinen lupa
Haittaohjelmien tuottaja voi päättää tarjota paketteja kertamaksulla ja välttää riskiä joutua suoraan kyberhyökkäyksiin sen sijaan, että hän ansaitsisi toistuvaa rahaa tilauksilla ja voitonjaolla.
Kyberrikolliset maksavat tässä tapauksessa kertamaksun saadakseen elinikäisen pääsyn lunnasohjelmasarjaan, jota he voivat käyttää haluamallaan tavalla.
Jotkut alemman tason kyberrikolliset voisivat valita kertaluontoisen oston, vaikka se olisi huomattavasti kalliimpi (kymmeniä tuhansia dollareita kehittyneistä sarjoista), koska heidän olisi vaikeampi saada yhteys RaaS-operaattoriin, jos operaattori jää kiinni.
RaaS-kumppanuudet
Kiristysohjelmia käyttävät kyberhyökkäykset edellyttävät, että jokaisella hakkereilla on ainutlaatuiset kyvyt.
Tässä skenaariossa ryhmä kokoontuisi ja antaisi erilaisia panoksia operaatioon. Aloitakseen tarvitaan ransomware-koodin kehittäjä, yritysverkkohakkerit ja englanninkielinen lunnasneuvottelija.
Riippuen roolistaan ja merkityksestään kampanjassa, kukin osallistuja tai kumppani suostuu jakamaan tulot.
Kuinka tunnistaa RaaS-hyökkäys?
Yleensä ei ole olemassa 100 % tehokasta ransomware-hyökkäyssuojaa. Tietojenkalasteluviestit ovat kuitenkin edelleen ensisijainen tapa suorittaa lunnasohjelmahyökkäyksiä.
Siksi yrityksen on järjestettävä tietojenkalastelutietoisuuskoulutusta varmistaakseen, että henkilöstön jäsenillä on paras mahdollinen käsitys tietojenkalasteluviestien havaitsemisesta.
Teknisellä tasolla yrityksillä voi olla erikoistunut kyberturvallisuustiimi, jonka tehtävänä on suorittaa uhkien metsästystä. Uhkien metsästys on erittäin onnistunut tapa havaita ja ehkäistä lunnasohjelmahyökkäystä.
Tässä prosessissa luodaan teoria käyttämällä hyökkäysvektoreiden tietoja. Aavistus ja tiedot auttavat luomaan ohjelman, joka voi nopeasti tunnistaa hyökkäyksen syyn ja pysäyttää sen.
Uhkien etsintätyökaluja käytetään pitämään silmällä odottamattomia tiedostojen suorituksia, epäilyttävää toimintaa jne. verkossa. Tunnistaakseen kiristysohjelmahyökkäysyritykset he käyttävät kelloa IOC:iden (Indicators of Compromise) avulla.
Lisäksi käytössä on monia tilannekohtaisia uhkien metsästysmalleja, joista jokainen on räätälöity kohdeorganisaation toimialalle.
Esimerkkejä RaaS:stä
Kiristysohjelmien tekijät ovat juuri ymmärtäneet, kuinka kannattavaa on rakentaa RaaS-liiketoimintaa. Lisäksi useat uhkatoimijaorganisaatiot ovat perustaneet RaaS-toimintoja levittääkseen kiristysohjelmia lähes kaikissa yrityksissä. Tässä muutamia RaaS-organisaatioita:
- Pimeä puoli: Se on yksi surullisen kuuluisimmista RaaS-palveluntarjoajista. Raporttien mukaan tämä jengi oli siirtomaaputkeen kohdistuneen hyökkäyksen takana toukokuussa 2021. DarkSiden uskotaan alkaneen elokuussa 2020 ja saavuttaneen toiminnan huippunsa vuoden 2021 ensimmäisten kuukausien aikana.
- Dharma: Dharma Ransomware ilmestyi alun perin vuonna 2016 nimellä CrySis. Vaikka Dharma Ransomwaresta on ollut useita muunnelmia vuosien varrella, Dharma ilmestyi ensimmäisen kerran RaaS-muodossa vuonna 2020.
- Sokkelo: Kuten monet muutkin RaaS-palveluntarjoajat, Maze debytoi vuonna 2019. Käyttäjätietojen salaamisen lisäksi RaaS-organisaatio uhkasi julkaista tiedot julkisesti uhrien nöyryyttämiseksi. Maze RaaS suljettiin virallisesti marraskuussa 2020, vaikka syyt tähän ovat edelleen hieman hämäriä. Jotkut tutkijat uskovat kuitenkin, että samat rikolliset ovat esiintyneet eri nimillä, kuten Egregor.
- DoppelPaymer: Se on liitetty useisiin tapahtumiin, mukaan lukien yksi vuonna 2020 Saksassa sijaitsevaa sairaalaa vastaan, joka vaati potilaan hengen.
- Ryuk: Vaikka RaaS oli aktiivisempi vuonna 2019, sen uskotaan olleen olemassa ainakin vuonna 2017. Monet turvayritykset, mukaan lukien CrowdStrike ja FireEye, ovat kiistäneet tiettyjen tutkijoiden väitteet, että asu sijaitsee Pohjois-Koreassa.
- LockBit: Tiedostopäätteenä organisaatio käyttää uhritiedostojen salaamiseen ".abcd virusta", joka ilmestyi ensimmäisen kerran syyskuussa 2019. LockBitin kyky levitä itsenäisesti kohdeverkon yli on yksi sen ominaisuuksista. Mahdollisille hyökkääjille tämä tekee siitä toivottavan RaaS:n.
- Revil: Vaikka RaaS-palveluntarjoajia on useita, se oli yleisin vuonna 2021. Kaseya-hyökkäys, joka tapahtui heinäkuussa 2021 ja vaikutti ainakin 1,500 yritykseen, liitettiin REvil RaaS:ään. Organisaation uskotaan myös olleen kesäkuun 2021 hyökkäyksen takana lihanvalmistaja JBS USA:ta vastaan, josta uhri joutui maksamaan 11 miljoonan dollarin lunnaat. Sen todettiin myös olevan vastuussa ransomware-hyökkäyksestä kybervakuutusyhtiö CNA Financialiin maaliskuussa 2021.
Kuinka estää RaaS-hyökkäykset?
RaaS-hakkerit käyttävät useimmiten kehittyneitä phishing-phishing-sähköposteja, jotka on ammattitaidolla luotu näyttämään aidolta haittaohjelmien levittämiseen. Vankka riskinhallintatapa, joka tukee jatkuvaa turvallisuustietoisuuskoulutusta loppukäyttäjille, on välttämätön suojatakseen RaaS-hyödykkeiltä.
Ensimmäinen ja paras suoja on luoda liiketoimintakulttuuri, joka tiedottaa loppukäyttäjille viimeisimmistä tietojenkalastelutekniikoista ja vaaroista, joita kiristysohjelmahyökkäykset aiheuttavat heidän taloudelleen ja maineelleen. Aloitteita tähän liittyen ovat mm.
- Ohjelmistopäivitykset: Kiristysohjelmat käyttävät usein hyväkseen käyttöjärjestelmiä ja sovelluksia. Kiristysohjelmahyökkäysten estämiseksi on tärkeää päivittää ohjelmisto, kun korjaustiedostoja ja päivityksiä julkaistaan.
- Varmuuskopioi ja palauta tietosi huolellisesti: Tietojen varmuuskopiointi- ja palautusstrategian luominen on ensimmäinen ja luultavasti tärkein askel. Data muuttuu käyttäjille käyttökelvottomaksi ransomware-salauksen jälkeen. Hyökkääjän suorittaman tiedonsalauksen vaikutusta voidaan vähentää, jos yrityksellä on käytössään varmuuskopioita, joita voidaan hyödyntää palautusprosessissa.
- Tietojenkalastelun estäminen: Tietojenkalastelu sähköpostien kautta on tyypillinen kiristysohjelmien hyökkäystapa. RaaS-hyökkäykset voidaan estää, jos käytössä on jonkinlainen tietojenkalastelun sähköpostisuojaus.
- Monivaiheinen todennus: Jotkut kiristysohjelmahyökkääjät käyttävät tunnistetietojen täyttämistä, mikä tarkoittaa varastettujen salasanojen käyttöä yhdeltä sivustolta toisella. Koska pääsyyn tarvitaan edelleen toinen tekijä, monitekijätodennus vähentää yhden liiallisen salasanan vaikutusta.
- Suojaus XDR-päätepisteille: Päätepisteiden tietoturva- ja uhkien etsintäteknologiat, kuten XDR, tarjoavat ylimääräisen tärkeän suojakerroksen kiristysohjelmia vastaan. Tämä tarjoaa parannetut tunnistus- ja vastausominaisuudet, jotka auttavat vähentämään kiristysohjelmien vaaraa.
- DNS-rajoitus: Ransomware käyttää usein jonkinlaista komento- ja ohjauspalvelinta (C2) liittyäkseen RaaS-operaattorin alustaan. DNS-kysely liittyy lähes aina tietoliikenteeseen tartunnan saaneelta koneelta C2-palvelimelle. Organisaatiot voivat tunnistaa, kun kiristysohjelma yrittää olla vuorovaikutuksessa RaaS C2:n kanssa, ja estää viestinnän DNS-suodatusturvaratkaisun avulla. Tämä voi toimia eräänlaisena infektion ehkäisynä.
RaaS:n tulevaisuus
RaaS-hyökkäykset yleistyvät ja suosivat hakkereiden keskuudessa tulevaisuudessa. Tuoreen raportin mukaan yli 60 % kaikista kyberhyökkäyksistä viimeisen 18 kuukauden aikana oli RaaS-pohjaisia.
RaaS on tulossa yhä suositummaksi sen käytön yksinkertaisuuden ja sen vuoksi, ettei teknistä osaamista tarvita. Lisäksi meidän tulee valmistautua elintärkeään infrastruktuuriin kohdistuvien RaaS-hyökkäysten lisääntymiseen.
Tämä kattaa terveydenhuollon, hallinnon, liikenteen ja energian. Hakkerit näkevät nämä tärkeät teollisuudenalat ja instituutiot alttiimpina kuin koskaan, jolloin sairaalat ja voimalaitokset ovat RaaS-hyökkäysten näköpiirissä. toimitusketju ongelmat jatkuvat vuoteen 2022 asti.
Yhteenveto
Yhteenvetona voidaan todeta, että vaikka Ransomware-as-a-Service (RaaS) on luomus ja yksi viimeisimmistä digitaalisten käyttäjien saalistamista vaaroista, on ratkaisevan tärkeää ryhtyä tiettyihin ennaltaehkäiseviin toimenpiteisiin tämän uhan torjumiseksi.
Muiden perusturvatoimien lisäksi voit luottaa myös uusiin haittaohjelmien torjuntatyökaluihin, jotka suojaavat sinua edelleen tältä uhalta. Valitettavasti RaaS näyttää olevan täällä jäädäkseen toistaiseksi.
Tarvitset kattavan teknologia- ja kyberturvasuunnitelman suojautuaksesi RaaS-hyökkäyksiltä onnistuneen RaaS-hyökkäyksen todennäköisyyden vähentämiseksi.
Jätä vastaus