Tartalomjegyzék[Elrejt][Előadás]
A Ransomware aligha jelent vadonatúj fenyegetést az interneten. Gyökerei sok évre nyúlnak vissza. Ez a fenyegetés az idő múlásával egyre veszélyesebbé és könyörtelenebbé vált.
A „ransomware” szó széles körben ismertté vált a kibertámadások bombázásának eredményeként, amelyek az elmúlt években sok vállalkozást használhatatlanná tettek.
A számítógépén lévő összes fájl letöltése és titkosítása megtörtént, majd a képernyő elsötétül, és egy angol nyelvű üzenet jelenik meg.
Yváltságdíjat kell fizetnie a fekete kalapú kiberbűnözőknek Bitcoinban vagy más nyomon követhetetlen kriptovalutában, hogy visszafejtő kulcsot szerezzenek, vagy megakadályozzák, hogy érzékeny adatai megjelenjenek a sötét weben.
De kevesebben tudnak a ransomware-as-a-Service-ről, egy jól szervezett alvilági üzleti modellről, amely képes végrehajtani az ilyen típusú támadásokat (vagy RaaS-t).
Ahelyett, hogy maguk hajtanának végre támadást, a zsarolóprogram-készítők kiadják drága vírusaikat kevésbé tapasztalt számítógépes bűnözőknek, akik készek vállalni a zsarolóprogram-műveletek végrehajtásával kapcsolatos kockázatot.
De hogyan működik mindez? Ki vezeti a hierarchiát és kik a közvetítők? És ami talán még fontosabb, hogyan védheti meg vállalkozását és magát ezekkel a bénító támadásokkal szemben?
Folytassa az olvasást, ha többet szeretne megtudni a RaaS-ről.
Mi az a Ransomware as a Service (RaaS)?
A Ransomware-as-a-service (RaaS) egy bűnözői vállalati üzleti modell, amely lehetővé teszi bárki számára, hogy csatlakozzon és eszközöket használjon ransomware támadások indításához.
A RaaS-felhasználók, akárcsak azok, akik szolgáltatásként más modelleket használnak, például szoftverként szolgáltatásként (SaaS) vagy platformként szolgáltatásként (PaaS) használnak, inkább bérelnek, mint saját zsarolóprogram-szolgáltatásokat.
Ez egy alacsony kódú, szoftverként szolgáltatásként használt támadási vektor, amely lehetővé teszi a bűnözők számára, hogy zsarolószoftvereket vásároljanak a sötét weben, és zsarolóvírus-támadásokat hajtsanak végre anélkül, hogy tudnák, hogyan kell kódolni.
Az e-mailes adathalász sémák a RaaS sebezhetőségeinek gyakori támadási vektorai.
Amikor egy áldozat rákattint egy rosszindulatú hivatkozásra a támadó e-mailjében, a zsarolóprogram letöltődik, és az érintett gépen elterjed, letiltva a tűzfalakat és a víruskereső szoftvereket.
A RaaS-szoftver keresni tudja a jogosultságok növelésének módjait, ha az áldozat peremvédelmét megsértették, és végül az egész szervezetet túszul ejti a fájlok olyan szintű titkosításával, ahol elérhetetlenek.
Miután az áldozatot tájékoztatták a támadásról, a program utasításokat ad neki a váltságdíj kifizetésére és (ideális esetben) a megfelelő kriptográfiai kulcs beszerzésére a visszafejtéshez.
Bár a RaaS és a ransomware sebezhetőségei törvénybe ütköznek, az ilyen jellegű támadásokat végrehajtó bűnözőket különösen nehéz elfogni, mert Tor böngészőket (más néven onion routereket) használnak áldozataik elérésére és bitcoin váltságdíj fizetésére.
Az FBI azt állítja, hogy egyre több rosszindulatú program készítője terjeszti káros LCNC (alacsony kód/kód nélküli) programjait a zsarolásból befolyó bevétel megvágásáért cserébe.
Hogyan működik a RaaS modell?
A fejlesztők és a leányvállalatok együttműködnek a hatékony RaaS támadás végrehajtásában. A fejlesztők feladata a speciális ransomware rosszindulatú programok írása, amelyeket később eladnak egy leányvállalatnak.
A ransomware kódot és a támadás elindításához szükséges utasításokat a fejlesztők biztosítják. A RaaS használata egyszerű, és kevés technológiai ismeretet igényel.
Bárki, aki hozzáfér a sötét webhez, beléphet a portálra, csatlakozhat leányvállalatként, és egyetlen kattintással támadásokat indíthat. A leányvállalatok kiválasztják a terjeszteni kívánt vírusfajtát, és a kezdéshez kriptovalutával, általában Bitcoinnal fizetnek.
A fejlesztő és a leányvállalat felosztja a bevételt, amikor a váltságdíjat kifizették és a támadás sikeres. A bevételi modell típusa határozza meg az alapok elosztásának módját.
Vizsgáljuk meg néhány ilyen illegális üzleti stratégiát.
Leányvállalat RaaS
Számos tényező miatt, beleértve a ransomware csoport márka ismertségét, a kampányok sikerarányát, valamint a kínált szolgáltatások színvonalát és változatosságát, az underground affiliate programok a RaaS egyik legismertebb formájává váltak.
A bűnszervezetek gyakran keresnek olyan hackereket, akik önállóan is bejuthatnak az üzleti hálózatokba, hogy megőrizzék ransomware kódjukat a bandán belül. Ezután felhasználják a vírust és a segítséget a támadás elindításához.
Azonban egy hackernek erre nincs is szüksége, mivel a közelmúltban elterjedt a vállalati hálózati hozzáférés értékesítése a sötét weben, hogy megfeleljen ezeknek a kritériumoknak.
A jól támogatott, kevésbé tapasztalt hackerek magas kockázatú támadásokat indítanak el nyereségrészesedésért cserébe, ahelyett, hogy havi vagy éves díjat fizetnének a ransomware kód használatáért (de esetenként előfordulhat, hogy a leányvállalatoknak fizetniük kell a játékért).
A zsarolóvírus-bandák legtöbbször olyan hackereket keresnek, akik elég képzettek ahhoz, hogy betörjenek egy vállalati hálózatba, és elég bátrak ahhoz, hogy végrehajtsák a sztrájkot.
Ebben a rendszerben a leányvállalat gyakran a váltságdíj 60-70%-át kapja, a fennmaradó 30-40%-ot pedig a RaaS üzemeltetőjének küldik el.
Előfizetés alapú RaaS
Ezzel a taktikával a csalók rendszeresen tagsági díjat fizetnek azért, hogy hozzáférjenek a zsarolóprogramokhoz, a technikai támogatáshoz és a vírusfrissítésekhez. Számos webalapú előfizetési szolgáltatásmodell, mint például a Netflix, a Spotify vagy a Microsoft Office 365, ehhez hasonlítható.
Általában a ransomware-bűnözők a váltságdíjfizetésből származó bevétel 100%-át maguknak tartják, ha előre fizetnek a szolgáltatásért, ami havonta 50 dollártól több száz dollárig terjedhet, a RaaS szállítójától függően.
Ezek a tagsági díjak szerény befektetést jelentenek a szokásos, körülbelül 220,000 XNUMX dolláros váltságdíjhoz képest. Természetesen a társult programok fizetős, előfizetéses elemet is beépíthetnek a terveikbe.
Életre szóló engedély
A rosszindulatú programok előállítója dönthet úgy, hogy csomagokat kínál egyszeri fizetés ellenében, és elkerülheti annak kockázatát, hogy közvetlenül részt vegyen a kibertámadásokban, ahelyett, hogy ismétlődő pénzt keresne előfizetéseken és nyereségrészesedésen keresztül.
A kiberbűnözők ebben az esetben egyszeri díjat fizetnek azért, hogy élethosszig tartó hozzáférést kapjanak egy ransomware készlethez, amelyet bármilyen módon felhasználhatnak.
Egyes alacsonyabb szintű kiberbűnözők akkor is választhatnának egyszeri vásárlást, ha az lényegesen drágább (több tízezer dollár a kifinomult készletekért), mivel az operátor elfogása esetén nehezebben csatlakoznának a RaaS operátorhoz.
RaaS partnerségek
A ransomware-t használó kibertámadásokhoz minden érintett hackernek egyedi képességekkel kell rendelkeznie.
Ebben a forgatókönyvben egy csoport összegyűlne, és különféle módon járulna hozzá a művelethez. Egy ransomware kód fejlesztője, a vállalati hálózati hackerek és egy angolul beszélő váltságdíj-tárgyaló szükséges a kezdéshez.
A kampányban betöltött szerepüktől és jelentőségüktől függően minden résztvevő vagy partner beleegyezik a bevételek felosztásába.
Hogyan lehet felismerni a RaaS támadást?
Általában nincs 100%-ban hatékony védelem a zsarolóvírus elleni támadások ellen. Az adathalász e-mailek azonban továbbra is a zsarolóvírus-támadások végrehajtásának elsődleges módja.
Ezért a vállalatnak adathalászat-figyelő képzést kell tartania annak biztosítása érdekében, hogy a személyzet tagjai a lehető legjobban megértsék az adathalász e-mailek észlelését.
Technikai szinten a vállalkozások rendelkezhetnek egy speciális kiberbiztonsági csapattal, amelynek feladata a fenyegetésvadászat. A fenyegetésvadászat egy nagyon sikeres módszer a ransomware támadások észlelésére és megelőzésére.
Ebben a folyamatban egy elmélet jön létre a támadási vektorok információinak felhasználásával. A sejtés és az adatok segítenek egy olyan program létrehozásában, amely gyorsan azonosíthatja a támadás okát és megállíthatja azt.
A váratlan fájlvégrehajtások, a gyanús viselkedés stb. hálózaton történő figyelése érdekében fenyegetésvadász eszközöket használnak. A megkísérelt zsarolóvírus-támadások azonosítására a kompromisszumjelzők (IOC) figyelését használják.
Ezenkívül számos szituációs fenyegetésvadászat modellt használnak, amelyek mindegyike a célszervezet iparágához van szabva.
Példák a RaaS-re
A zsarolóprogramok szerzői most jöttek rá, hogy mennyire jövedelmező egy RaaS-üzletet felépíteni. Ezen túlmenően számos fenyegetést jelentő szervezet létesített RaaS-műveleteket a zsarolóvírusok terjesztésére szinte minden vállalkozáson belül. Íme néhány a RaaS-szervezetek közül:
- Sötét oldal: Ez az egyik leghírhedtebb RaaS szolgáltató. A jelentések szerint ez a banda állt a gyarmati csővezeték elleni támadás mögött 2021 májusában. A DarkSide vélhetően 2020 augusztusában indult, és 2021 első néhány hónapjában érte el a tetőpontját.
- Dharma: A Dharma Ransomware eredetileg 2016-ban jelent meg CrySis néven. Bár az évek során számos Dharma Ransomware variáció létezett, a Dharma először 2020-ban jelent meg RaaS formátumban.
- Labirintus: Sok más RaaS-szolgáltatóhoz hasonlóan a Maze is 2019-ben debütált. A felhasználói adatok titkosítása mellett a RaaS szervezet adatok nyilvános közzétételével fenyegetőzött, hogy megalázza az áldozatokat. A Maze RaaS hivatalosan 2020 novemberében leállt, bár ennek okai még mindig kissé homályosak. Egyes akadémikusok azonban úgy vélik, hogy ugyanazok a bűnelkövetők különböző néven, például Egregor alatt maradtak fenn.
- DoppelPaymer: Számos eseményhez kapcsolták, köztük egy 2020-ban egy németországi kórház ellen, amely egy beteg életét követelte.
- ryuk: Bár a RaaS aktívabb volt 2019-ben, a feltételezések szerint legalább 2017-ben létezett. Számos biztonsági cég, köztük a CrowdStrike és a FireEye, cáfolta bizonyos kutatók azon állításait, hogy a felszerelés Észak-Koreában található.
- LockBit: Fájlkiterjesztésként a szervezet az áldozat fájlok titkosítására alkalmazza az „.abcd vírust”, amely először 2019 szeptemberében jelent meg. A LockBit azon képessége, hogy autonóm módon elterjedjen a célhálózaton, az egyik jellemzője. Leendő támadók számára ez kívánatossá teszi a RaaS-t.
- Revil: Bár több RaaS szolgáltató is létezik, 2021-ben ez volt a leggyakoribb. A Kaseya támadás, amely 2021 júliusában történt, és legalább 1,500 vállalatot érintett, a REvil RaaS-hez kapcsolódott. Feltételezik, hogy a szervezet áll a 2021. júniusi, a JBS USA húsgyártó cég elleni támadás mögött is, amelyért az áldozatnak 11 millió dolláros váltságdíjat kellett fizetnie. Azt is megállapították, hogy felelős a CNA Financial kiberbiztosítási szolgáltató ellen 2021 márciusában elkövetett zsarolóvírus-támadásért.
Hogyan lehet megakadályozni a RaaS támadásokat?
A RaaS hackerei leggyakrabban olyan kifinomult adathalász e-maileket használnak, amelyeket szakértelemmel úgy hoztak létre, hogy hitelesnek tűnjenek a rosszindulatú programok terjesztéséhez. Egy szilárd kockázatkezelési megközelítésre van szükség, amely támogatja a végfelhasználók folyamatos biztonsági tudatosítási képzését a RaaS kizsákmányolása elleni védelem érdekében.
Az első és a legjobb védelem egy olyan üzleti kultúra létrehozása, amely tájékoztatja a végfelhasználókat a legújabb adathalász technikákról és a ransomware támadások által a pénzügyeikre és hírnevükre nézve jelentett veszélyekről. Az ezzel kapcsolatos kezdeményezések a következők:
- Szoftverfrissítések: Az operációs rendszereket és alkalmazásokat gyakran kihasználják a zsarolóvírusok. A zsarolóvírus-támadások megállítása érdekében fontos, hogy a javítások és frissítések megjelenésekor frissítse a szoftvert.
- Ügyeljen az adatok biztonsági mentésére és visszaállítására: Az adatmentési és helyreállítási stratégia létrehozása az első és valószínűleg a legfontosabb lépés. Az adatok használhatatlanná válnak a felhasználók számára a ransomware általi titkosítást követően. A támadó által végzett adattitkosítás hatása csökkenthető, ha a vállalat rendelkezik aktuális biztonsági másolatokkal, amelyeket a helyreállítási eljárás során fel lehet használni.
- Adathalászat megelőzése: Az e-maileken keresztüli adathalászat a zsarolóprogramok tipikus támadási módja. A RaaS támadások megelőzhetők, ha van valamilyen adathalászat elleni e-mail védelem.
- Többtényezős hitelesítés: Egyes zsarolóvírus-támadók hitelesítő adatok kitöltését használják, ami magában foglalja az egyik webhelyről a másikon ellopott jelszavak használatát. Mivel a hozzáféréshez továbbra is szükség van egy második tényezőre, a többtényezős hitelesítés csökkenti a túlzottan használt jelszó hatását.
- Biztonság az XDR végpontokhoz: A végpontbiztonsági és fenyegetésvadász technológiák, mint például az XDR, további kulcsfontosságú védelmi réteget kínálnak a ransomware ellen. Ez továbbfejlesztett észlelési és válaszadási képességeket kínál, amelyek segítenek csökkenteni a ransomware veszélyét.
- DNS korlátozás: A Ransomware gyakran használ valamilyen parancs- és vezérlőkiszolgálót (C2) a RaaS operátor platformjával való interfészhez. A DNS-lekérdezés szinte mindig részt vesz a fertőzött gép és a C2 kiszolgáló közötti kommunikációban. A szervezetek felismerhetik, ha a ransomware megpróbál kapcsolatba lépni a RaaS C2-vel, és megakadályozzák a kommunikációt egy DNS-szűrő biztonsági megoldás segítségével. Ez egyfajta fertőzésmegelőzésként működhet.
A RaaS jövője
A RaaS támadások a jövőben egyre elterjedtebbek és kedveltebbek lesznek a hackerek körében. Egy friss jelentés szerint az elmúlt 60 hónap összes kibertámadásának több mint 18%-a RaaS-alapú volt.
A RaaS egyre népszerűbbé válik, köszönhetően annak, hogy milyen egyszerű a használata, és nincs szükség technikai tudásra. Ezenkívül fel kell készülnünk a létfontosságú infrastruktúrát célzó RaaS támadások számának növekedésére.
Ez lefedi az egészségügyet, az adminisztrációt, a közlekedést és az energetikát. A hackerek ezeket a létfontosságú iparágakat és intézményeket minden eddiginél kiszolgáltatottabbnak tekintik, így az olyan entitásokat, mint a kórházak és erőművek a RaaS támadások látókörébe állítják. ellátási lánc A problémák 2022-ig folytatódnak.
Következtetés
Összefoglalva, még ha a Ransomware-as-a-Service (RaaS) egy alkotás és a digitális felhasználókat fenyegető legújabb veszélyek egyike, kulcsfontosságú bizonyos megelőző intézkedéseket tenni a fenyegetés leküzdésére.
Az egyéb alapvető biztonsági óvintézkedéseken túlmenően a legmodernebb kártevőirtó eszközökre is támaszkodhat, amelyek még jobban megvédik Önt ettől a fenyegetéstől. Sajnálatos módon úgy tűnik, hogy a RaaS egyelőre itt marad.
Átfogó technológiai és kiberbiztonsági tervre lesz szüksége a RaaS-támadások elleni védelem érdekében, hogy csökkentse a sikeres RaaS-támadás valószínűségét.
Hagy egy Válaszol