Ransomware er varla glæný ógn á internetinu. Rætur þess liggja mörg ár aftur í tímann. Þessi ógn hefur aðeins orðið hættulegri og miskunnarlausari með tímanum.
Orðið „ransomware“ hefur hlotið víðtæka viðurkenningu vegna sprengjuárása á netárásir sem hafa gert mörg fyrirtæki ónothæf á undanförnum árum.
Öllum skrám á tölvunni þinni hefur verið hlaðið niður og dulkóðuð, og þá verður skjárinn svartur og skilaboð á hrösunar ensku birtast.
Yþú verður að greiða lausnargjald til svarthatta netglæpamanna í Bitcoin eða öðrum órekjanlegum dulritunargjaldmiðlum til að fá afkóðunarlykil eða koma í veg fyrir að viðkvæm gögn þín verði birt á myrka vefnum.
En færri kunna að vera meðvitaðir um ransomware-as-a-Service, vel skipulagt undirheimaviðskiptamódel sem getur framkvæmt þessar tegundir árása (eða RaaS).
Í stað þess að gera árásir sjálfir, leigja höfundar lausnarhugbúnaðar út dýru vírusana sína til minna reyndra netglæpamanna sem eru tilbúnir að taka áhættuna sem fylgir því að framkvæma lausnarhugbúnað.
Hvernig virkar þetta samt allt? Hver leiðir stigveldið og hverjir eru milliliðir? Og kannski mikilvægara, hvernig geturðu varið fyrirtæki þitt og sjálfan þig gegn þessum lamandi árásum?
Haltu áfram að lesa til að læra meira um RaaS.
Hvað er Ransomware as a Service (RaaS)?
Ransomware-as-a-service (RaaS) er glæpsamlegt viðskiptamódel sem gerir hverjum sem er kleift að taka þátt og nota verkfæri til að koma af stað lausnarhugbúnaðarárásum.
RaaS notendur, eins og þeir sem nota önnur sem-a-service módel eins og hugbúnað sem þjónustu (SaaS) eða pallur sem þjónustu (PaaS), leigja frekar en að eiga lausnarhugbúnaðarþjónustu.
Þetta er lágkóða, hugbúnaðar-sem-þjónusta árásarvektor sem gerir glæpamönnum kleift að kaupa lausnarhugbúnað á myrka vefnum og framkvæma lausnarárásir án þess að vita hvernig á að kóða.
Vefveiðarkerfi í tölvupósti eru algeng árásarvektor fyrir RaaS veikleika.
Þegar fórnarlamb smellir á skaðlegan hlekk í tölvupósti árásarmannsins hleður lausnarforritinu niður og dreifist um viðkomandi vél, sem gerir eldveggi og vírusvarnarforrit óvirkt.
RaaS hugbúnaðurinn getur leitað leiða til að hækka forréttindi þegar brotið hefur verið á jaðarvörnum fórnarlambsins og að lokum haldið allri stofnuninni í gíslingu með því að dulkóða skrár að því marki að ekki er hægt að nálgast þær.
Þegar fórnarlambinu hefur verið tilkynnt um árásina mun forritið veita þeim leiðbeiningar um hvernig eigi að greiða lausnargjaldið og (helst) fá réttan dulritunarlykil fyrir afkóðun.
Þrátt fyrir að RaaS og lausnarhugbúnaðarveikleikar séu ólöglegir, getur verið sérstaklega erfitt að handtaka glæpamenn sem framkvæma þessa tegund af líkamsárásum vegna þess að þeir nota Tor vafra (einnig þekktir sem laukbeini) til að fá aðgang að fórnarlömbum sínum og krefjast lausnargjalds fyrir bitcoin.
FBI heldur því fram að sífellt fleiri höfundar spilliforrita dreifi skaðlegum LCNC (lágkóða/engan kóða) forritum sínum í skiptum fyrir að skera niður fjárkúgunartekjurnar.
Hvernig virkar RaaS líkanið?
Hönnuðir og samstarfsaðilar vinna saman að því að framkvæma árangursríka RaaS árás. Hönnuðir sjá um að skrifa sérhæfðan ransomware malware, sem síðan er seldur til hlutdeildarfélaga.
Lausnarhugbúnaðarkóði og leiðbeiningar um að hefja árásina eru veittar af þróunaraðilum. RaaS er einfalt í notkun og krefst lítillar tækniþekkingar.
Allir sem hafa aðgang að myrka vefnum geta farið inn á gáttina, tekið þátt sem samstarfsaðili og gert árásir með einum smelli. Samstarfsaðilar velja vírustegundina sem þeir vilja dreifa og greiða með dulritunargjaldmiðli, venjulega Bitcoin, til að byrja.
Framkvæmdaraðilinn og hlutdeildaraðilinn skipta tekjunum þegar lausnargjaldið er greitt og árásin hefur heppnast. Tegund tekjulíkans ræður því hvernig fjármunum er úthlutað.
Við skulum skoða nokkrar af þessum ólöglegu viðskiptaaðferðum.
Samstarfsaðili RaaS
Vegna margvíslegra þátta, þar á meðal vörumerkjavitundar lausnarhugbúnaðarhópsins, árangurshlutfalls herferðanna og stærðar og fjölbreytni þeirrar þjónustu sem boðið er upp á, hafa neðanjarðar samstarfsverkefni orðið eitt þekktasta form RaaS.
Glæpasamtök leita oft að tölvuþrjótum sem geta komist inn á viðskiptanet á eigin spýtur til að viðhalda lausnarhugbúnaðarkóða sínum innan klíkunnar. Þeir nota síðan vírusinn og aðstoðina til að hefja árásina.
Hins vegar gæti tölvuþrjótur ekki einu sinni þurft á þessu að halda í ljósi nýlegrar aukningar á fyrirtækjanetsaðgangi til sölu á myrka vefnum til að uppfylla þessi skilyrði.
Vel studdir, minna reyndir tölvuþrjótar ráðast í áhættusamar árásir í skiptum fyrir hagnaðarhlutdeild frekar en að borga mánaðarlegt eða árlegt gjald fyrir að nota lausnarhugbúnaðarkóðann (en stundum gætu samstarfsaðilar þurft að borga fyrir að spila).
Meirihluti tímans leita lausnarhugbúnaðargengi tölvuþrjóta sem eru nógu hæfir til að brjótast inn í fyrirtækjanet og nógu hugrakkir til að framkvæma verkfallið.
Í þessu kerfi fær samstarfsaðilinn oft á milli 60% og 70% af lausnargjaldinu, en 30% til 40% sem eftir eru eru send til RaaS rekstraraðilans.
RaaS sem byggir á áskrift
Í þessari aðferð greiða svindlarar félagsgjald reglulega til að hafa aðgang að lausnarhugbúnaði, tækniaðstoð og vírusuppfærslum. Mörg vefbundin áskriftarþjónusta, eins og Netflix, Spotify eða Microsoft Office 365, eru sambærileg við þetta.
Venjulega halda lausnargjaldsbrotamenn 100% af tekjum af lausnargreiðslum fyrir sig ef þeir greiða fyrir þjónustuna fyrirfram, sem gæti kostað $50 til hundruð dollara í hverjum mánuði, allt eftir RaaS birgi.
Þessi félagsgjöld tákna hóflega fjárfestingu miðað við venjulega lausnargjald upp á um $220,000. Að sjálfsögðu geta tengd forrit einnig tekið þátt í áætlunum sínum sem greiða þarf til að spila, sem byggir á áskrift.
Lífstíma leyfi
Framleiðandi spilliforrita getur ákveðið að bjóða upp á pakka fyrir eingreiðslu og forðast að taka sénsinn á að taka beinan þátt í netárásum í stað þess að vinna sér inn endurtekna peninga með áskrift og hagnaðarhlutdeild.
Netglæpamenn í þessu tilfelli greiða eingreiðslu fyrir að fá ævilangan aðgang að lausnarhugbúnaðarsetti, sem þeir geta notað á hvaða hátt sem þeim sýnist.
Sumir netglæpamenn á lægra stigi gætu valið einskiptiskaup jafnvel þó að það sé umtalsvert dýrara (tugþúsundir dollara fyrir háþróuð sett) þar sem það væri erfiðara fyrir þá að tengjast RaaS símafyrirtækinu ef rekstraraðilinn yrði handtekinn.
RaaS samstarf
Netárásir sem nota lausnarhugbúnað krefjast þess að hver tölvuþrjótur sem í hlut á hafi einstaka hæfileika.
Í þessari atburðarás myndi hópur koma saman og leggja fram ýmis framlög til starfseminnar. Nauðsynlegt er að þróa lausnargjaldskóða, tölvuþrjóta fyrirtækja og enskumælandi lausnargjaldssamningamann til að hefjast handa.
Það fer eftir hlutverki þeirra og mikilvægi í herferðinni, hver þátttakandi, eða samstarfsaðili, samþykkir að skipta tekjunum.
Hvernig á að greina RaaS árás?
Venjulega er engin árásarvörn fyrir lausnarhugbúnað sem er 100% árangursrík. Hins vegar eru vefveiðar tölvupóstar áfram aðal aðferðin sem notuð er til að framkvæma lausnarhugbúnaðarárásir.
Þess vegna þarf fyrirtæki að bjóða upp á þjálfun í vitundarvakningu um vefveiðar til að tryggja að starfsmenn hafi sem bestan skilning á því hvernig eigi að koma auga á vefveiðar tölvupósta.
Á tæknilegu stigi gætu fyrirtæki haft sérhæft netöryggisteymi sem hefur það hlutverk að stunda hættuleit. Ógnaleit er mjög árangursrík aðferð til að greina og koma í veg fyrir lausnarárásir.
Kenning er búin til í þessu ferli með því að nota upplýsingarnar um árásarvektora. Hugmyndin og gögnin hjálpa til við að búa til forrit sem gæti fljótt greint orsök líkamsárásarinnar og stöðvað hana.
Til að fylgjast með óvæntum skráaftökum, grunsamlegri hegðun o.s.frv. á netinu eru ógnarleitartæki notuð. Til að bera kennsl á tilraunir til lausnarárása nota þeir úrið fyrir Indicators of Compromise (IOC).
Að auki eru notuð mörg aðstæð ógnarveiðilíkön, sem hvert um sig er sérsniðið að atvinnugrein viðkomandi stofnunar.
Dæmi um RaaS
Höfundar lausnarhugbúnaðar hafa nýlega áttað sig á því hversu hagkvæmt það er að byggja upp RaaS fyrirtæki. Að auki hafa verið nokkur ógnunarsamtök sem stofna RaaS starfsemi til að dreifa lausnarhugbúnaði í næstum öllum fyrirtækjum. Þetta eru nokkrar af RaaS samtökunum:
- Dökk hlið: Það er einn frægasti RaaS veitandinn. Samkvæmt fréttum stóð þetta klíka á bak við árásina á Colonial Pipeline í maí 2021. Talið er að DarkSide hafi hafist í ágúst 2020 og náð hámarki í virkni á fyrstu mánuðum ársins 2021.
- Dharma: Dharma Ransomware kom upphaflega fram árið 2016 undir nafninu CrySis. Þrátt fyrir að það hafi verið nokkur Dharma Ransomware afbrigði í gegnum árin, birtist Dharma fyrst á RaaS sniði árið 2020.
- Maze: Eins og hjá mörgum öðrum RaaS veitendum kom Maze frumraun árið 2019. Auk þess að dulkóða notendagögn hótuðu RaaS samtökin að gefa út gögn opinberlega í viðleitni til að niðurlægja fórnarlömb. Maze RaaS var formlega lokað í nóvember 2020, að vísu eru ástæðurnar fyrir þessu enn frekar óljósar. Sumir fræðimenn telja hins vegar að sömu brotamenn hafi haldið áfram undir ýmsum nöfnum, eins og Egregor.
- DoppelPaymer: Það hefur verið tengt við fjölda atburða, þar á meðal einn árið 2020 gegn sjúkrahúsi í Þýskalandi sem kostaði sjúkling lífið.
- Ryuk: Þrátt fyrir að RaaS hafi verið virkari árið 2019, er talið að það hafi verið til að minnsta kosti árið 2017. Mörg öryggisfyrirtæki, þar á meðal CrowdStrike og FireEye, hafa neitað fullyrðingum ákveðinna vísindamanna um að búningurinn sé staðsettur í Norður-Kóreu.
- LockBit: Sem skráarviðbót notar stofnunin til að dulkóða fórnarlambaskrár, „.abcd virus,“ kom fyrst upp á yfirborðið í september 2019. Geta LockBit til að dreifa sjálfstætt yfir marknet er einn af eiginleikum þess. Fyrir væntanlega árásarmenn gerir þetta það að eftirsóknarverðu RaaS.
- LJÖLD: Þó að það séu nokkrir RaaS veitendur, var það algengasta árið 2021. Kaseya árásin, sem átti sér stað í júlí 2021 og hafði áhrif á að minnsta kosti 1,500 fyrirtæki, var tengd við REvil RaaS. Samtökin eru einnig talin hafa staðið á bak við árásina á kjötframleiðandann JBS USA í júní 2021, en fórnarlambið þurfti að greiða 11 milljón dollara lausnargjald fyrir. Það reyndist einnig bera ábyrgð á lausnarhugbúnaðarárás á nettryggingafyrirtækið CNA Financial í mars 2021.
Hvernig á að koma í veg fyrir RaaS árásir?
RaaS tölvuþrjótar nota oftast háþróaðan spjótveiðipóst sem er sérfræðingur búinn til til að virðast ekta til að dreifa spilliforritum. Sterk áhættustjórnunaraðferð sem styður viðvarandi öryggisvitundarþjálfun fyrir notendur er nauðsynleg til að vernda gegn RaaS hetjudáð.
Fyrsta og besta vörnin er að skapa viðskiptamenningu sem upplýsir notendur um nýjustu vefveiðatækni og hættuna sem árásir lausnarhugbúnaðar fela í sér fyrir fjárhag þeirra og orðspor. Frumkvæði í þessu sambandi eru meðal annars:
- Hugbúnaður uppfærsla: Stýrikerfi og forrit eru oft nýtt af lausnarhugbúnaði. Til að hjálpa til við að stöðva lausnarhugbúnaðarárásir er mikilvægt að uppfæra hugbúnaðinn þegar plástrar og uppfærslur eru gefnar út.
- Gættu þess að taka öryggisafrit og endurheimta gögnin þín: Að koma á öryggisafriti og endurheimtarstefnu er fyrsta og líklega mikilvægasta skrefið. Gögn verða ónothæf fyrir notendur eftir dulkóðun með lausnarhugbúnaði. Áhrif dulkóðunar gagna af árásarmanni geta minnkað ef fyrirtæki hefur núverandi öryggisafrit sem hægt er að nýta í endurheimtarferli.
- Forvarnir gegn vefveiðum: Vefveiðar í gegnum tölvupóst er dæmigerð árásaraðferð fyrir lausnarhugbúnað. Hægt er að koma í veg fyrir RaaS árásir ef einhvers konar vörn gegn phishing tölvupósti er til staðar.
- Fjölþátta auðkenning: Sumir lausnarhugbúnaðarárásarmenn nota persónuskilríkisfyllingu, sem felur í sér að nota stolin lykilorð frá einni síðu á annarri. Vegna þess að enn þarf að fá annan þátt til að fá aðgang, dregur fjölþátta auðkenningu úr áhrifum eins lykilorðs sem er ofnotað.
- Öryggi fyrir XDR endapunkta: Öryggi endapunkta og ógnarleitartækni, eins og XDR, býður upp á mikilvægu varnarlag gegn lausnarhugbúnaði. Þetta býður upp á aukna greiningar- og viðbragðsmöguleika sem hjálpa til við að draga úr hættu á lausnarhugbúnaði.
- DNS takmörkun: Ransomware notar oft einhvers konar stjórn- og stjórnunarþjóna (C2) til að tengjast vettvangi RaaS rekstraraðila. DNS fyrirspurn tekur næstum alltaf þátt í samskiptum frá sýktri vél til C2 netþjónsins. Stofnanir geta greint hvenær lausnarhugbúnaður er að reyna að hafa samskipti við RaaS C2 og koma í veg fyrir samskiptin með hjálp DNS síunar öryggislausnar. Þetta getur virkað sem tegund sýkingavarna.
Framtíð RaaS
RaaS árásir munu verða algengari og vinsælli meðal tölvuþrjóta í framtíðinni. Yfir 60% allra netárása á síðustu 18 mánuðum, samkvæmt nýlegri skýrslu, voru RaaS byggðar.
RaaS verður sífellt vinsælli vegna þess hversu einfalt það er í notkun og þess að engin tækniþekking er nauðsynleg. Að auki ættum við að búa okkur undir aukningu á RaaS árásum sem beinast að mikilvægum innviðum.
Þetta nær yfir sviði heilbrigðisþjónustu, stjórnsýslu, flutninga og orku. Tölvusnápur líta á þessar mikilvægu atvinnugreinar og stofnanir sem útsettari en nokkru sinni fyrr og setja aðila eins og sjúkrahús og orkuver í augum RaaS árása sem framboð keðja mál halda áfram til ársins 2022.
Niðurstaða
Að lokum, jafnvel þótt Ransomware-as-a-Service (RaaS) sé sköpun og ein nýjasta hættan sem steðjar að stafrænum notendum, þá er mikilvægt að grípa til ákveðnar fyrirbyggjandi ráðstafana til að berjast gegn þessari ógn.
Til viðbótar við aðrar grundvallar öryggisráðstafanir geturðu einnig reitt þig á háþróaða tól gegn spilliforritum til að vernda þig enn frekar gegn þessari ógn. Því miður virðist RaaS vera hér til að vera í bili.
Þú þarft alhliða tækni- og netöryggisáætlun til að verjast RaaS árásum til að draga úr líkum á árangursríkri RaaS árás.
Skildu eftir skilaboð