Table of Contents[Ferstopje][Toanje]
Ransomware is amper in gloednije bedriging op it ynternet. Syn woartels geane in protte jierren werom. Dizze bedriging is yn 'e rin fan' e tiid allinich gefaarliker en ûnmeilydsum wurden.
It wurd "ransomware" hat wiidferspraat erkenning krigen as gefolch fan it bombardemint fan cyberoanfallen dy't de lêste jierren in protte bedriuwen ûnbrûkber makke hawwe.
Alle bestannen op jo PC binne ynladen en fersifere, en dan wurdt jo skerm swart en in berjocht yn stroffeljend Ingelsk ferskynt.
YJo moatte in losjild betelje oan cyberkriminelen mei swarte hoed yn Bitcoin of oare untraceable cryptocurrencies om in ûntsiferingskaai te krijen of te foarkommen dat jo gefoelige gegevens wurde frijlitten op it tsjustere web.
Mar minder binne miskien bewust fan ransomware-as-a-Service, in goed organisearre bedriuwsmodel fan 'e ûnderwrâld dat dizze soarten oanfallen (as RaaS) kin útfiere.
Ynstee fan sels oanfallen út te fieren, ferhiere ransomware-skeppers har djoere firussen oan minder erfarne cyberkriminelen dy't ree binne om it risiko te lûken ferbûn mei it útfieren fan ransomware-operaasjes.
Hoe wurket it allegear lykwols? Wa liedt de hiërargy en wa funksjonearret as de middelman? En miskien krúsjaaler, hoe kinne jo jo bedriuw en josels ferdigenje tsjin dizze kreupele oanfallen?
Trochgean mei lêzen om mear te learen oer RaaS.
Wat is Ransomware as in tsjinst (RaaS)?
Ransomware-as-a-service (RaaS) is in bedriuwsmodel foar kriminele ûndernimmingen wêrmei elkenien meidwaan kin en ark brûke foar it lansearjen fan ransomware-oanfallen.
RaaS-brûkers, lykas dyjingen dy't oare as-a-service-modellen brûke, lykas software-as-a-service (SaaS) of platform-as-a-service (PaaS), hiere ynstee fan eigen ransomware-tsjinsten.
It is in low-code, software-as-a-service oanfalvektor dy't kriminelen mooglik makket ransomware-software te keapjen op it tsjustere web en ransomware-oanfallen út te fieren sûnder te witten hoe't se kodearje.
E-postphishing-skema's binne in mienskiplike oanfalvektor foar RaaS-kwetsberheden.
As in slachtoffer klikt op in kweade kepling yn 'e e-post fan' e oanfaller, wurdt de ransomware ynladen en ferspraat oer de troffen masine, wêrtroch firewalls en antivirussoftware útskeakelje.
De RaaS-software kin sykje nei manieren om privileezjes te ferheegjen as de perimeterferdigeningen fan it slachtoffer binne trochbrutsen, en úteinlik de heule organisaasje yn gizel hâlde troch bestannen te fersiferjen oant it punt wêr't se net te berikken binne.
Sadree't it slachtoffer op 'e hichte is fan' e oanfal, sil it programma har ynstruksjes jaan oer hoe't se it losjild betelje kinne en (ideaal) de juste kryptografyske kaai krije foar ûntsifering.
Hoewol RaaS- en ransomware-kwetsberheden yllegaal binne, kinne kriminelen dy't dit soarte oanfal útfiere, foaral útdaagjend wêze om te arrestearjen, om't se Tor-browsers brûke (ek wol bekend as sipelrouters) om tagong te krijen ta har slachtoffers en easkje bitcoin-losgeldbetellingen.
De FBI beweart dat mear en mear malware makkers fersprieden harren skealike LCNC (low code / gjin koade) programma yn ruil foar in besuniging fan de opbringst fan afpersing.
Hoe wurket it RaaS-model?
Untwikkelders en Affiliates wurkje gear om in effektive RaaS-oanfal út te fieren. Untwikkelders binne ferantwurdlik foar it skriuwen fan spesjalisearre ransomware-malware, dy't dêrnei wurdt ferkocht oan in filiaal.
De ransomware-koade en ynstruksjes foar it starten fan 'e oanfal wurde levere troch de ûntwikkelders. RaaS is ienfâldich te brûken en fereasket net folle technologyske kennis.
Elkenien dy't tagong hat ta it tsjustere web kin it portaal ynfiere, meidwaan as affiliate, en oanfallen starte mei ien klik. Affiliates kieze it firustype dat se wolle fersprieden en meitsje in betelling mei in cryptocurrency, meastentiids Bitcoin, om te begjinnen.
De ûntwikkelder en de filiaal diele de fertsjinsten as it losjild wurdt betelle en de oanfal is suksesfol. It type ynkomstenmodel bepaalt hoe't de fûnsen wurde tawiisd.
Litte wy in pear fan dizze yllegale bedriuwstrategyen ûndersykje.
Affiliate RaaS
Fanwegen in ferskaat oan faktoaren, ynklusyf it merkbewustwêzen fan 'e ransomware-groep, de súksessifers fan' e kampanjes, en it kaliber en ferskaat fan 'e oanbeane tsjinsten, binne ûndergrûnske filiaalprogramma's ien fan' e bekendste foarmen fan RaaS wurden.
Kriminele organisaasjes sykje faak nei hackers dy't op har eigen bedriuwsnetwurken kinne komme om har ransomware-koade binnen de binde te behâlden. Se brûke dan it firus en help om de oanfal te starten.
In hacker kin dit lykwols net iens nedich hawwe, sjoen de resinte opkomst fan tagong foar bedriuwsnetwurk-te-ferkeap op it tsjustere web om oan dizze kritearia te foldwaan.
Goed-stipe, minder erfarne hackers lansearje oanfallen mei hege risiko's yn ruil foar in winstdiel ynstee fan in moanlikse of jierlikse lading te beteljen om de ransomware-koade te brûken (mar soms moatte filialen miskien betelje om te spyljen).
De mearderheid fan 'e tiid sykje ransomware-bendes hackers dy't feardigens genôch binne om yn in bedriuwnetwurk te brekken en moedich genôch om de staking út te fieren.
Yn dit systeem krijt de affiliate faak tusken 60% en 70% fan it losjild, mei de oerbleaune 30% oant 40% dy't nei de RaaS-operator stjoerd wurde.
Abonnemint-basearre RaaS
Yn dizze taktyk betelje oplichters op regelmjittige basis in lidmaatskipsfergoeding om tagong te krijen ta ransomware, technyske stipe en firusupdates. In protte web-basearre modellen foar abonnemintstsjinsten, lykas Netflix, Spotify, of Microsoft Office 365, binne hjirmei te fergelykjen.
Normaal hâlde oertreders fan ransomware 100% fan 'e ynkomsten fan losjildbetellingen foar harsels as se foarôf betelje foar de tsjinst, wat elke moanne $ 50 oant hûnderten dollars kin kostje, ôfhinklik fan de RaaS-leveransier.
Dizze lidmaatskipskosten fertsjinwurdigje in beskieden ynvestearring yn ferliking mei de gewoane losjildbetelling fan sawat $ 220,000. Fansels kinne filiaalprogramma's ek in pay-to-play, op abonnemint basearre elemint yn har plannen opnimme.
Lifetime fergunning
In malware-produsint kin beslute om pakketten oan te bieden foar in ienmalige betelling en foarkomme dat se de kâns nimme om direkt belutsen te wurden by cyberoanfallen ynstee fan weromkommend jild te fertsjinjen fia abonneminten en winstdieling.
Cyberkriminelen betelje yn dit gefal in ienmalige lading om libbenslange tagong te krijen ta in ransomware-kit, dy't se kinne brûke op elke manier dy't se passend fine.
Guon cyberkriminelen op legere nivo kinne in ienmalige oankeap kieze, sels as it signifikant djoerder is (tsientûzenen dollars foar ferfine kits), om't it foar har dreger soe wêze om te ferbinen mei de RaaS-operator as de operator arresteare soe.
RaaS gearwurkingsferbannen
Cyberoanfallen mei ransomware hawwe nedich dat elke belutsen hacker in unike set fan kapasiteiten hat.
Yn dit senario soe in groep gearkomme en ferskate bydragen leverje oan 'e operaasje. In ûntwikkelder fan ransomware-koade, hackers fan bedriuwsnetwurk, en in Ingelsktalige ransom-ûnderhanneler binne ferplicht om te begjinnen.
Ofhinklik fan har rol en betsjutting yn 'e kampanje soe elke dielnimmer, as partner, it iens wêze om de ynkomsten te dielen.
Hoe kinne jo in RaaS-oanfal detektearje?
Typysk is d'r gjin beskerming fan ransomware-oanfal dy't 100% effektyf is. Phishing-e-mails bliuwe lykwols de primêre metoade dy't brûkt wurdt om ransomware-oanfallen út te fieren.
Dêrom moat in bedriuw training foar phishing-bewustwêzen leverje om te soargjen dat personielsleden it best mooglike begryp hawwe fan hoe't se phishing-e-mails kinne opspoare.
Op technysk nivo kinne bedriuwen in spesjalisearre cybersecurity-team hawwe mei de opdracht om bedrigingsjacht te dwaan. Threat Hunting is in heul suksesfolle metoade foar it opspoaren en foarkommen fan ransomware-oanfallen.
In teory wurdt makke yn dit proses mei help fan de ynformaasje oer oanfal vectors. It gefoel en gegevens helpe by it meitsjen fan in programma dat de oarsaak fan 'e oanfal fluch kin identifisearje en stopje.
Om in each út te hâlden foar ûnferwachte triemútfiering, fertocht gedrach, ensfh op it netwurk, wurde bedrigingsjachtynstruminten brûkt. Om besochte ransomware-oanfallen te identifisearjen, meitsje se gebrûk fan it horloazje foar Indicators of Compromise (IOC's).
Dêrnjonken wurde in protte situatyske bedrigingsjachtmodellen brûkt, elk fan dy is ôfstimd op 'e sektor fan' e doelorganisaasje.
Foarbylden fan RaaS
Auteurs fan ransomware binne krekt kommen om te realisearjen hoe rendabel it is om in RaaS-bedriuw te bouwen. Derneist binne d'r ferskate organisaasjes foar bedrigingsakteurs west dy't RaaS-operaasjes oprjochtsje om ransomware troch hast elk bedriuw te propagearjen. Dit binne in pear fan 'e RaaS-organisaasjes:
- Donkere kant: It is ien fan 'e meast beruchte RaaS-oanbieders. Neffens rapporten stie dizze binde efter de oanfal op 'e Colonial Pipeline yn maaie 2021. DarkSide wurdt leaud yn augustus fan 2020 begon te wêzen en peak yn aktiviteit yn 'e earste moannen fan 2021.
- Dharma: Dharma Ransomware ferskynde oarspronklik yn 2016 ûnder de namme CrySis. Hoewol d'r yn 'e rin fan' e jierren ferskate Dharma Ransomware-fariaasjes west hawwe, ferskynde Dharma foar it earst yn in RaaS-formaat yn 2020.
- maze: Lykas by in protte oare RaaS-oanbieders, debutearre Maze yn 2019. Neist it fersiferjen fan brûkersgegevens drige de RaaS-organisaasje gegevens iepenbier frij te meitsjen yn in poging om slachtoffers te fernederjen. De Maze RaaS is yn novimber 2020 formeel ôfsletten, al binne de redenen hjirfoar noch wat wazig. Guon akademisy leauwe lykwols dat deselde oertreders ûnder ferskate nammen oanhâlden binne, lykas Egregor.
- DoppelPaymer: It is ferbûn mei in oantal eveneminten, wêrûnder ien yn 2020 tsjin in sikehûs yn Dútslân dat it libben fan in pasjint easke.
- Ryuk: Hoewol de RaaS yn 2019 mear aktyf wie, wurdt leaud dat it op syn minst bestien hat yn 2017. In protte feiligensbedriuwen, ynklusyf CrowdStrike en FireEye, hawwe oanspraken fan bepaalde ûndersikers wegere dat de outfit yn Noard-Korea leit.
- LockBit: As de triem-útwreiding brûkt de organisaasje om slachtofferbestannen te fersiferjen, ".abcd-virus," ferskynde earst yn septimber 2019. De kapasiteit fan LockBit om autonoom te fersprieden oer in doelnetwurk is ien fan har funksjes. Foar oanfallers makket dit it in winsklike RaaS.
- REVIL: Hoewol d'r ferskate RaaS-oanbieders binne, wie it de meast foarkommende yn 2021. De Kaseya-oanfal, dy't barde yn july 2021 en hie in ynfloed op op syn minst 1,500 bedriuwen, wie keppele oan de REvil RaaS. De organisaasje soe ek efter de oanfal fan juny 2021 op de fleisfabrikant JBS USA west hawwe, wêrfoar't it slachtoffer $11 miljoen losjild betelje moast. It waard ek fûn dat it ferantwurdlik wie foar in ransomware-oanfal op 'e provider fan cyberfersekering CNA Financial yn maart 2021.
Hoe kinne RaaS-oanfallen foarkomme?
RaaS-hackers brûke meast ferfine spear-phishing-e-mails dy't saakkundich makke binne om autentyk te lykjen om malware te fersprieden. In solide oanpak foar risikobehear dy't trochgeande training foar befeiligingsbewustwêzen foar ein-brûkers stipet is nedich om te beskermjen tsjin RaaS-exploitaasjes.
De earste en de bêste beskerming is om in saaklike kultuer te meitsjen dy't ein-brûkers ynformearret oer de meast resinte phishing-techniken en de gefaren dy't ransomware-oanfallen fertsjintwurdigje foar har finânsjes en reputaasjes. Inisjativen yn dit ferbân omfetsje:
- Software-upgrades: Bestjoeringssystemen en apps wurde faak eksploitearre troch ransomware. Om ransomware-oanfallen te stopjen, is it wichtich om de software te aktualisearjen as patches en updates wurde frijjûn.
- Wês foarsichtich om jo gegevens te backupjen en te herstellen: It fêststellen fan in data-backup- en herstelstrategy is de earste en, wierskynlik, wichtichste stap. Gegevens wurde ûnbrûkber foar brûkers nei fersifering troch ransomware. De ynfloed fan gegevensfersifering troch in oanfaller kin minder wurde as in bedriuw aktuele backups hat dy't kinne wurde brûkt yn in herstelproseduere.
- Previnsje fan phishing: Phishing fia e-post is in typyske metoade fan oanfal foar ransomware. RaaS-oanfallen kinne wurde foarkommen as d'r in soarte fan anty-phishing-e-postbeskerming yn plak is.
- Mearfaktoare ferifikaasje: Guon oanfallers fan ransomware brûke referinsjes, wêrby't it brûken fan stellen wachtwurden fan de iene side op de oare giet. Om't in twadde faktor noch fereaske is om tagong te krijen, ferminderet multyfaktorautentikaasje de ynfloed fan in inkeld wachtwurd dat tefolle brûkt wurdt.
- Feiligens foar XDR-einpunten: Endpoint-feiligens- en bedrigingsjachttechnologyen, lykas XDR, biede in ekstra krúsjale ferdigeningslaach tsjin ransomware. Dit biedt ferbettere deteksje- en antwurdmooglikheden dy't helpe om it gefaar fan ransomware te ferminderjen.
- DNS beheining: Ransomware brûkt faak in soarte fan kommando en kontrôle (C2) tsjinner om te ynterface mei it platfoarm fan in RaaS operator. In DNS-fraach is hast altyd belutsen by kommunikaasje fan in ynfekteare masine nei de C2-tsjinner. Organisaasjes kinne werkenne wannear't ransomware besiket te ynteraksje mei de RaaS C2 en de kommunikaasje te foarkommen mei help fan in DNS-filteringsfeiligensoplossing. Dit kin fungearje as in soarte fan ynfeksjeprevinsje.
Future of RaaS
RaaS-oanfallen sille yn 'e takomst mear foarkommen wurde en populêrder wurde ûnder hackers. Mear dan 60% fan alle cyberoanfallen yn 'e lêste 18 moannen, neffens in resint rapport, wiene RaaS-basearre.
RaaS wurdt hieltyd populêrder as gefolch fan hoe ienfâldich it is te brûken en it feit dat gjin technyske kennis nedich is. Derneist moatte wy ús tariede op in tanimming fan RaaS-oanfallen dy't vitale ynfrastruktuer rjochtsje.
Dit beslacht de fjilden sûnenssoarch, administraasje, ferfier en enerzjy. Hackers sjogge dizze krúsjale yndustry en ynstellingen as mear bleatsteld as ea, en sette entiteiten lykas sikehûzen en enerzjysintrales yn it sicht fan RaaS-oanfallen as leverkeatling problemen duorje oant 2022.
Konklúzje
Ta beslút, sels as Ransomware-as-a-Service (RaaS) in skepping is en ien fan 'e meast resinte gefaren foar prey op digitale brûkers, is it krúsjaal om bepaalde previntive maatregels te nimmen om dizze bedriging te bestriden.
Neist oare fûnemintele feiligens foarsoarchsmaatregels, kinne jo ek fertrouwe op cutting-edge antimalware ark om jo fierder te beskermjen tsjin dizze bedriging. Spitigernôch liket RaaS foarearst hjir te bliuwen.
Jo hawwe in wiidweidich technology- en cyberfeiligensplan nedich om te beskermjen tsjin RaaS-oanfallen om de kâns op in suksesfolle RaaS-oanfal te ferminderjen.
Leave a Reply