Բառը[Թաքցնել][Ցուցադրում]
Ransomware-ը հազիվ թե բոլորովին նոր սպառնալիք լինի ինտերնետում: Նրա արմատները գնում են շատ տարիներ առաջ: Այս սպառնալիքը ժամանակի ընթացքում միայն դարձել է ավելի վտանգավոր և անողոք:
«Փրկագին» բառը լայն ճանաչում է ձեռք բերել կիբերհարձակումների ռմբակոծության արդյունքում, որոնք վերջին տարիներին շատ բիզնեսներ դարձրել են անօգտագործելի:
Ձեր ԱՀ-ի բոլոր ֆայլերը ներբեռնվել և գաղտնագրվել են, այնուհետև ձեր էկրանը սևանում է, և հայտնվում է անգլերեն լեզվով հաղորդագրություն:
Yդուք պետք է փրկագին վճարեք սև գլխարկով կիբերհանցագործներին բիթքոյնով կամ այլ անհետագծելի կրիպտոարժույթներով, որպեսզի ստանաք վերծանման բանալի կամ կանխեք ձեր զգայուն տվյալների հրապարակումը մութ ցանցում:
Սակայն քչերը կարող են տեղյակ լինել ransomware-as-a-service-ի մասին, որը լավ կազմակերպված անդրաշխարհի բիզնես մոդել է, որը կարող է իրականացնել այս տեսակի հարձակումներ (կամ RaaS):
Իրենց գրոհներն իրականացնելու փոխարեն՝ փրկագին ծրագրերի ստեղծողները իրենց թանկարժեք վիրուսները վարձակալում են ավելի քիչ փորձառու կիբերհանցագործներին, ովքեր պատրաստ են ռիսկի ենթարկվել փրկագին ծրագրերի իրականացման հետ կապված:
Այնուամենայնիվ, ինչպե՞ս է այդ ամենը գործում: Ո՞վ է ղեկավարում հիերարխիան և ովքե՞ր են գործում որպես միջնորդներ: Եվ գուցե ավելի կարևորը, ինչպե՞ս կարող եք պաշտպանել ձեր բիզնեսը և ինքներդ ձեզ այս հաշմանդամ հարձակումներից:
Շարունակեք կարդալ՝ RaaS-ի մասին ավելին իմանալու համար:
Ի՞նչ է Ransomware որպես ծառայություն (RaaS):
Ransomware-as-a-service (RaaS)-ը հանցավոր ձեռնարկության բիզնես մոդել է, որը թույլ է տալիս որևէ մեկին միանալ և օգտագործել գործիքներ փրկագին հարձակումներ գործարկելու համար:
RaaS-ի օգտատերերը, ինչպես նրանք, ովքեր օգտագործում են որպես ծառայության այլ մոդելներ, ինչպիսիք են ծրագրակազմը որպես ծառայություն (SaaS) կամ հարթակ-որպես ծառայություն (PaaS), վարձակալում են, այլ ոչ թե ունեն փրկագին ծրագրերի ծառայություններ:
Դա ցածր կոդով, ծրագրային ապահովման որպես ծառայություն հարձակման վեկտոր է, որը հանցագործներին հնարավորություն է տալիս գնել փրկագին ծրագրեր մութ ցանցում և իրականացնել փրկագին հարձակումներ՝ առանց կոդավորման իմանալու:
Էլփոստի ֆիշինգի սխեմաները RaaS խոցելիության համար սովորական հարձակման վեկտոր են:
Երբ զոհը կտտացնում է հարձակվողի էլ.փոստի վնասակար հղումը, փրկագին ներբեռնում և տարածվում է տուժած մեքենայի վրա՝ անջատելով firewalls-ը և հակավիրուսային ծրագրակազմը:
RaaS ծրագրաշարը կարող է որոնել արտոնությունները բարձրացնելու ուղիները, երբ տուժողի շրջագծային պաշտպանությունը խախտվի, և ի վերջո ամբողջ կազմակերպությունը պատանդ պահի՝ գաղտնագրելով ֆայլերը այնքան, որ դրանք անհասանելի լինեն:
Հենց որ տուժողին տեղեկացնեն հարձակման մասին, ծրագիրը նրան կտրամադրի ցուցումներ, թե ինչպես վճարել փրկագինը և (իդեալականում) ստանալ ճիշտ գաղտնագրման բանալին ապակոդավորման համար:
Թեև RaaS-ը և փրկագին ծրագրերի խոցելիությունը անօրինական են, հանցագործներին, ովքեր իրականացնում են նման հարձակում, կարող են հատկապես դժվար լինել բռնել, քանի որ նրանք օգտագործում են Tor բրաուզերները (նաև հայտնի են որպես սոխի երթուղիչներ)՝ իրենց զոհերին մուտք գործելու և բիթքոյնով փրկագին վճարելու համար:
ՀԴԲ-ն պնդում է, որ ավելի ու ավելի շատ չարամիտ ծրագրեր ստեղծողներ են տարածում իրենց վնասակար LCNC (ցածր կոդ/առանց կոդ) ծրագրերը՝ շորթումից ստացված եկամուտը կրճատելու դիմաց:
Ինչպե՞ս է աշխատում RaaS մոդելը:
Մշակողները և գործընկերները համագործակցում են արդյունավետ RaaS հարձակում իրականացնելու համար: Մշակողները պատասխանատու են մասնագիտացված փրկագին չարամիտ ծրագրերի գրելու համար, որոնք հետո վաճառվում են փոխկապակցված կազմակերպությանը:
Փրկագին ծածկագիրը և հարձակումը սկսելու հրահանգները տրամադրվում են մշակողների կողմից: RaaS-ը պարզ է օգտագործման համար և պահանջում է քիչ տեխնոլոգիական գիտելիքներ:
Յուրաքանչյուր ոք, ով մուտք ունի մութ ցանց, կարող է մտնել պորտալ, միանալ որպես փոխկապակցված կազմակերպություն և հարձակումներ սկսել մեկ սեղմումով: Գործընկերներն ընտրում են վիրուսի տեսակը, որը ցանկանում են տարածել և վճարում են՝ օգտագործելով կրիպտոարժույթը, սովորաբար՝ Bitcoin, սկսելու համար:
Մշակողը և դուստր ձեռնարկությունը բաժանում են եկամուտը, երբ փրկագնի գումարը վճարվում է, և հարձակումը հաջող է ընթանում: Եկամտի մոդելի տեսակը որոշում է, թե ինչպես են բաշխվում միջոցները:
Եկեք քննենք այս անօրինական բիզնես ռազմավարություններից մի քանիսը:
Affiliate RaaS
Բազմաթիվ գործոնների պատճառով, ներառյալ փրկագին ծրագրերի խմբի իրազեկվածությունը, արշավների հաջողության տեմպերը և առաջարկվող ծառայությունների տրամաչափն ու բազմազանությունը, ստորգետնյա մասնաճյուղային ծրագրերը դարձել են RaaS-ի ամենահայտնի ձևերից մեկը:
Քրեական կազմակերպությունները հաճախ փնտրում են հաքերների, ովքեր կարող են ինքնուրույն մուտք գործել բիզնես ցանցեր, որպեսզի պահպանեն իրենց փրկագին ծածկագիրը հանցախմբի ներսում: Այնուհետև նրանք օգտագործում են վիրուսը և օգնությունը հարձակումը սկսելու համար:
Այնուամենայնիվ, հաքերին դա կարող է նույնիսկ անհրաժեշտ չլինել՝ հաշվի առնելով մութ ցանցում կորպորատիվ ցանցի վաճառքի հասանելիության վերջին աճը՝ այս չափանիշները բավարարելու համար:
Լավ աջակցվող, պակաս փորձառու հաքերները բարձր ռիսկային հարձակումներ են ձեռնարկում շահույթի մասնաբաժնի դիմաց, այլ ոչ թե ամսական կամ տարեկան վճար վճարելու փրկագին ծածկագիրը օգտագործելու համար (բայց երբեմն փոխկապակցված ընկերությունները կարող են վճարել խաղալու համար):
Ժամանակի մեծամասնությունը փրկագին ծրագրերի խմբավորումները փնտրում են հաքերների, որոնք բավականաչափ հմուտ են ընկերության ցանցը ներխուժելու համար և բավական խիզախ՝ հարվածն իրականացնելու համար:
Այս համակարգում փոխկապակցված կազմակերպությունը հաճախ ստանում է փրկագնի 60%-ից 70%-ը, իսկ մնացած 30%-ից 40%-ն ուղարկվում է RaaS օպերատորին:
Բաժանորդագրության վրա հիմնված RaaS
Այս մարտավարության մեջ խաբեբաները կանոնավոր կերպով վճարում են անդամավճար՝ փրկագին, տեխնիկական աջակցություն և վիրուսային թարմացումներ մուտք ունենալու համար: Վեբ վրա հիմնված բաժանորդագրության ծառայությունների շատ մոդելներ, ինչպիսիք են Netflix-ը, Spotify-ը կամ Microsoft Office 365-ը, համեմատելի են դրա հետ:
Սովորաբար, փրկագին օրինազանցները փրկագին վճարումներից ստացված հասույթի 100%-ն իրենց համար են պահում, եթե նախապես վճարեն ծառայության համար, որը կարող է արժենալ $50-ից մինչև հարյուրավոր դոլար ամեն ամիս՝ կախված RaaS մատակարարից:
Այս անդամավճարները համեստ ներդրում են՝ համեմատած 220,000 ԱՄՆ դոլարի սովորական փրկագնի հետ: Իհարկե, փոխկապակցված ծրագրերը կարող են նաև ներառել վճարովի, բաժանորդագրության վրա հիմնված տարր իրենց ծրագրերում:
Ցմահ թույլտվություն
Չարամիտ ծրագրեր արտադրողը կարող է որոշել փաթեթներ առաջարկել միանվագ վճարման համար և խուսափել կիբերհարձակումներին անմիջականորեն ներգրավվելու հնարավորությունից՝ բաժանորդագրությունների և շահույթի բաժանման միջոցով կրկնվող գումար վաստակելու փոխարեն:
Այս դեպքում կիբերհանցագործները վճարում են միանվագ վճար՝ փրկագին ծրագրերի փաթեթին ցմահ հասանելիություն ստանալու համար, որը նրանք կարող են օգտագործել ցանկացած ձևով, որը հարմար են գտնում:
Որոշ ցածր մակարդակի կիբերհանցագործներ կարող են ընտրել միանվագ գնում, նույնիսկ եթե այն զգալիորեն ավելի թանկ է (տասնյակ հազարավոր դոլարներ բարդ փաթեթների համար), քանի որ նրանց համար ավելի դժվար կլինի միանալ RaaS օպերատորին, եթե օպերատորը ձերբակալվի:
RaaS համագործակցություն
Փրկագին օգտագործող կիբերհարձակումները պահանջում են, որ ներգրավված յուրաքանչյուր հաքեր ունենա յուրահատուկ ունակություններ:
Այս սցենարում մի խումբ հավաքվում էր և տարբեր ներդրում է կատարում գործողությանը: Սկսելու համար պահանջվում է փրկագին կոդ մշակող, կորպորատիվ ցանցի հաքերներ և փրկագնի գումարների անգլիախոս բանակցող:
Կախված քարոզարշավում իրենց դերից և նշանակությունից, յուրաքանչյուր մասնակից կամ գործընկեր կհամաձայնի բաժանել եկամուտը:
Ինչպե՞ս հայտնաբերել RaaS հարձակումը:
Սովորաբար, չկա փրկագին հարձակման պաշտպանություն, որը 100% արդյունավետ է: Այնուամենայնիվ, ֆիշինգային էլ. նամակները մնում են փրկագին հարձակումներ իրականացնելու համար օգտագործվող հիմնական մեթոդը:
Հետևաբար, ընկերությունը պետք է անցկացնի ֆիշինգի մասին իրազեկման ուսուցում, որպեսզի համոզվի, որ անձնակազմի անդամները հնարավորինս լավ պատկերացում ունենան, թե ինչպես հայտնաբերել ֆիշինգի էլ.
Տեխնիկական մակարդակում բիզնեսները կարող են ունենալ կիբերանվտանգության մասնագիտացված թիմ, որը հանձնարարված է իրականացնել սպառնալիքների որս: Վտանգների որսը շատ հաջող մեթոդ է փրկագին հարձակումները հայտնաբերելու և կանխելու համար:
Այս գործընթացում ստեղծվում է տեսություն՝ օգտագործելով հարձակման վեկտորների մասին տեղեկատվությունը: Կախվածությունը և տվյալները օգնում են ստեղծել մի ծրագիր, որը կարող է արագ բացահայտել հարձակման պատճառը և դադարեցնել այն:
Ցանցում ֆայլերի անսպասելի մահապատժի, կասկածելի պահվածքի և այլնի համար աչք պահելու համար օգտագործվում են սպառնալիքների որսի գործիքներ: Փրկագին ծրագրերի հարձակումները հայտնաբերելու համար նրանք օգտագործում են ժամացույցը փոխզիջման ցուցիչների (IOCs) համար:
Բացի այդ, օգտագործվում են իրավիճակային սպառնալիքների որսի բազմաթիվ մոդելներ, որոնցից յուրաքանչյուրը հարմարեցված է թիրախային կազմակերպության ոլորտին:
RaaS-ի օրինակներ
Փրկագին ծրագրերի հեղինակները հենց նոր են հասկացել, թե որքան շահավետ է RaaS բիզնես կառուցելը: Բացի այդ, եղել են մի քանի սպառնալիքներ գործող կազմակերպություններ, որոնք ստեղծել են RaaS գործողություններ՝ փրկագին ծրագրեր տարածելու համար գրեթե բոլոր բիզնեսներում: Սրանք RaaS կազմակերպություններից մի քանիսն են.
- Մութ կողմԴա ամենահայտնի RaaS պրովայդերներից մեկն է: Ըստ տեղեկությունների՝ այս հանցախումբը կանգնած է եղել 2021 թվականի մայիսին Գաղութային խողովակաշարի վրա հարձակման հետևում: Ենթադրվում է, որ DarkSide-ը սկսվել է 2020 թվականի օգոստոսին և իր գործունեության գագաթնակետին հասել է 2021 թվականի առաջին մի քանի ամիսների ընթացքում:
- DharmaDharma Ransomware-ը սկզբնապես հայտնվել է 2016 թվականին՝ CrySis անունով: Թեև տարիների ընթացքում եղել են Dharma Ransomware-ի մի քանի տարբերակներ, Dharma-ն առաջին անգամ հայտնվել է RaaS ձևաչափով 2020 թվականին:
- ԼաբիրինթոսԻնչպես շատ այլ RaaS պրովայդերների դեպքում, Maze-ի դեբյուտը հայտնվեց 2019 թվականին: Բացի օգտատերերի տվյալների կոդավորումից, RaaS կազմակերպությունը սպառնացել է հրապարակայնորեն հրապարակել տվյալները՝ փորձելով նվաստացնել զոհերին: Maze RaaS-ը պաշտոնապես փակվեց 2020 թվականի նոյեմբերին, թեև դրա պատճառները դեռևս մշուշոտ են: Որոշ ակադեմիկոսներ, սակայն, կարծում են, որ նույն հանցագործները շարունակել են գործել տարբեր անուններով, ինչպես օրինակ Էգրեգորը:
- DoppelPaymerԴա կապված է մի շարք իրադարձությունների հետ, այդ թվում՝ 2020թ.-ին Գերմանիայի հիվանդանոցի դեմ մեկը, որը խլեց հիվանդի կյանքը:
- RyukԹեև RaaS-ն ավելի ակտիվ էր 2019-ին, ենթադրվում է, որ այն գոյություն է ունեցել առնվազն 2017-ին: Անվտանգության շատ ընկերություններ, ներառյալ CrowdStrike-ը և FireEye-ը, հերքել են որոշ հետազոտողների այն պնդումները, որ հանդերձանքը գտնվում է Հյուսիսային Կորեայում:
- LockBitՈրպես ֆայլի ընդլայնում, կազմակերպությունն օգտագործում է զոհերի ֆայլերը գաղտնագրելու համար՝ «.abcd virus», որն առաջին անգամ հայտնվեց 2019 թվականի սեպտեմբերին: LockBit-ի կարողությունը ինքնավարորեն տարածվել թիրախային ցանցի վրա դրա առանձնահատկություններից մեկն է: Հնարավոր հարձակվողների համար դա դարձնում է ցանկալի RaaS:
- ՀԵՂԻՆԱԿԹեև կան RaaS մի քանի մատակարարներ, այն ամենատարածվածն էր 2021 թվականին: Kaseya հարձակումը, որը տեղի ունեցավ 2021 թվականի հուլիսին և ազդեցություն ունեցավ առնվազն 1,500 ընկերությունների վրա, կապված էր REvil RaaS-ի հետ: Ենթադրվում է, որ կազմակերպությունը նաև կանգնած է եղել 2021 թվականի հունիսին JBS USA մսի արտադրողի վրա հարձակման հետևում, որի համար զոհը պետք է վճարեր 11 միլիոն դոլար փրկագին: Պարզվել է, որ այն նաև պատասխանատու է CNA Financial-ի կիբերապահովագրության մատակարարի վրա փրկագին հարձակման համար 2021 թվականի մարտին:
Ինչպե՞ս կանխել RaaS հարձակումները:
RaaS հաքերներն ամենից հաճախ օգտագործում են բարդ նիզակային ֆիշինգ նամակներ, որոնք արհեստավարժորեն ստեղծված են, որպեսզի իրական թվան չարամիտ ծրագրեր տարածելու համար: Ռիսկերի կառավարման ամուր մոտեցումը, որն աջակցում է վերջնական օգտագործողների անվտանգության իրազեկման շարունակական վերապատրաստմանը, անհրաժեշտ է RaaS շահագործումներից պաշտպանվելու համար:
Առաջին և լավագույն պաշտպանությունը բիզնես մշակույթ ստեղծելն է, որը վերջնական օգտագործողներին կտեղեկացնի ֆիշինգի ամենավերջին տեխնիկայի և այն վտանգների մասին, որոնք ներկայացնում են փրկագին ծրագրերի հարձակումները նրանց ֆինանսների և հեղինակության համար: Այս կապակցությամբ նախաձեռնությունները ներառում են.
- Softwareրագրաշարի արդիականացումՕպերացիոն համակարգերը և հավելվածները հաճախ շահագործվում են փրկագինների կողմից: Փրկագին ծրագրերի հարձակումները դադարեցնելու համար կարևոր է թարմացնել ծրագրակազմը, երբ կարկատաններն ու թարմացումները թողարկվեն:
- Զգույշ եղեք ձեր տվյալները կրկնօրինակել և վերականգնելՏվյալների կրկնօրինակման և վերականգնման ռազմավարության ստեղծումը առաջին և, հավանաբար, ամենակարևոր քայլն է: Տվյալներն օգտատերերի համար դառնում են անօգտագործելի՝ փրկագին ծրագրերի կողմից գաղտնագրվելուց հետո: Հարձակվողի կողմից տվյալների գաղտնագրման ազդեցությունը կարող է թուլանալ, եթե ընկերությունն ունի ընթացիկ պահուստավորումներ, որոնք կարող են օգտագործվել վերականգնման գործընթացում:
- Ֆիշինգի կանխարգելումԷլփոստի միջոցով ֆիշինգը փրկագինների համար հարձակման տիպիկ մեթոդ է: RaaS-ի հարձակումները կարելի է կանխել, եթե առկա է էլփոստի հակաֆիշինգային պաշտպանություն:
- Բազմակի գործոն նույնականացումՈրոշ փրկագին հարձակվողներ օգտագործում են հավատարմագրերի լցոնում, որը ներառում է գողացված գաղտնաբառերի օգտագործումը մի կայքից մյուսի վրա: Քանի որ երկրորդ գործոնը դեռևս պահանջվում է մուտք ստանալու համար, բազմագործոն նույնականացումը նվազեցնում է մեկ գաղտնաբառի ազդեցությունը, որը չափից ավելի է օգտագործվում:
- Անվտանգություն XDR վերջնակետերի համարՎերջնակետի անվտանգության և սպառնալիքների որսի տեխնոլոգիաները, ինչպիսին է XDR-ն, առաջարկում են պաշտպանության լրացուցիչ կարևոր շերտ փրկագինից: Սա առաջարկում է ուժեղացված հայտնաբերման և արձագանքման հնարավորություններ, որոնք օգնում են նվազեցնել փրկագին ծրագրերի վտանգը:
- DNS սահմանափակումRansomware-ը հաճախ օգտագործում է ինչ-որ հրամանի և կառավարման (C2) սերվեր՝ RaaS օպերատորի պլատֆորմի հետ ինտերֆեյսի համար: DNS հարցումը գրեթե միշտ ներգրավված է վարակված մեքենայից դեպի C2 սերվեր հաղորդակցության մեջ: Կազմակերպությունները կարող են ճանաչել, երբ փրկագին փորձում է փոխազդել RaaS C2-ի հետ և կանխել հաղորդակցությունը DNS զտման անվտանգության լուծման օգնությամբ: Սա կարող է գործել որպես վարակի կանխարգելման տեսակ:
RaaS-ի ապագան
RaaS հարձակումները հաքերների շրջանում ավելի տարածված և սիրված կդառնան ապագայում: Վերջին 60 ամսվա ընթացքում բոլոր կիբերհարձակումների ավելի քան 18%-ը, ըստ վերջին զեկույցի, եղել են RaaS-ի վրա:
RaaS-ն ավելի ու ավելի տարածված է դառնում այն պատճառով, թե որքան պարզ է այն օգտագործելու և այն փաստը, որ տեխնիկական գիտելիքների կարիք չկա: Բացի այդ, մենք պետք է պատրաստվենք RaaS հարձակումների ավելացմանը, որոնք ուղղված են կենսական ենթակառուցվածքներին:
Սա ներառում է առողջապահության, վարչարարության, տրանսպորտի և էներգետիկայի ոլորտները: Հաքերները այս կարևոր արդյունաբերություններն ու հաստատությունները համարում են ավելի բաց, քան երբևէ՝ հիվանդանոցների և էլեկտրակայանների նման կազմակերպություններին դնելով RaaS հարձակումների տեսադաշտում, քանի որ մատակարարման շղթա խնդիրները շարունակվում են մինչև 2022թ.
Եզրափակում
Եզրափակելով, նույնիսկ եթե Ransomware-as-a-Service (RaaS) ստեղծագործություն է և թվային օգտատերերի համար ամենավերջին վտանգներից մեկը, կարևոր է որոշակի կանխարգելիչ միջոցներ ձեռնարկել այս սպառնալիքի դեմ պայքարելու համար:
Ի հավելումն անվտանգության այլ հիմնարար նախազգուշական միջոցների, դուք կարող եք նաև ապավինել առաջադեմ հակավիրուսային գործիքներին՝ ձեզ այս սպառնալիքից ավելի պաշտպանելու համար: Ցավոք, RaaS-ը, կարծես թե, այստեղ է, որ առայժմ մնա:
Ձեզ անհրաժեշտ կլինի համապարփակ տեխնոլոգիա և կիբերանվտանգության ծրագիր՝ RaaS հարձակումներից պաշտպանվելու համար՝ RaaS-ի հաջող հարձակման հավանականությունը նվազեցնելու համար:
Թողնել գրառում