Ransomware интернеттеги жаңы коркунучтуу эмес. Анын тамыры көп жылдарга барып такалат. Бул коркунуч убакыттын өтүшү менен коркунучтуу жана ырайымсыз болуп калды.
"Ransomware" сөзү акыркы жылдарда көптөгөн ишканаларды жараксыз кылып койгон киберчабуулдардын бомбалоосунун натыйжасында кеңири таанылган.
Компьютериңиздеги бардык файлдар жүктөлүп алынып, шифрленген, андан кийин экраныңыз карарып, англис тилиндеги билдирүү пайда болот.
YШифрлөө ачкычын алуу же купуя маалыматтарыңыздын кара желеде чыгышына жол бербөө үчүн Bitcoin же башка байкалбаган криптовалюталардагы кара шляпа киберкылмышкерлерине кун төлөшүңүз керек.
Бирок азыраак адамдар ransomware-as-a-Service, мындай чабуулдарды (же RaaS) ишке ашыра ала турган жакшы уюштурулган кылмыш дүйнөсүнүн бизнес моделин билиши мүмкүн.
Чабуулдарды өздөрү жүргүзүүнүн ордуна, ransomware жаратуучулары кымбат вирустарын ransomware операцияларын жүргүзүү менен байланышкан тобокелдикке кабылууга даяр азыраак тажрыйбалуу кибер кылмышкерлерге ижарага беришет.
Мунун баары кантип иштейт? Иерархияны ким жетектейт жана ким ортомчу болуп иштейт? Жана балким, эң маанилүүсү, сиз өзүңүздүн бизнесиңизди жана өзүңүздү бул кыйратуучу кол салуулардан кантип коргой аласыз?
RaaS жөнүндө көбүрөөк билүү үчүн окууну улантыңыз.
Ransomware кызмат катары (RaaS) деген эмне?
Ransomware-as-a-service (RaaS) - бул ар кимге кошулууга жана ransomware чабуулдарын баштоо үчүн куралдарды колдонууга мүмкүндүк берген кылмыштуу ишкана бизнес модели.
RaaS колдонуучулары, программалык камсыздоо катары кызмат көрсөтүү (SaaS) же платформа-кызмат (PaaS) сыяктуу башка кызмат катары моделдерин колдонгондор сыяктуу, жеке ransomware кызматтарын эмес, ижарага алышат.
Бул кылмышкерлерге кара желеден ransomware программасын сатып алууга жана коддоону билбей туруп эле ransomware чабуулдарын жасоого мүмкүндүк берген төмөнкү коддуу, программалык камсыздоо катары чабуулдун вектору.
Электрондук фишинг схемалары RaaS алсыздыктары үчүн кеңири таралган чабуул вектору болуп саналат.
Жабырлануучу чабуулчунун электрондук почтасындагы зыяндуу шилтемени чыкылдатканда, ransomware жүктөлүп алынып, жабыркаган машинага жайылып, брандмауэрлерди жана антивирустук программаларды өчүрөт.
RaaS программасы жабырлануучунун периметрдик коргонуусу бузулгандан кийин артыкчылыктарды жогорулатуунун жолдорун издей алат жана акыры файлдарды аларга жетүүгө мүмкүн болбогон жерге чейин шифрлөө менен бүт уюмду барымтада кармап турат.
Жабырлануучуга кол салуу жөнүндө маалымат берилгенден кийин, программа аларга кунду кантип төлөө керектиги жана (идеалдуу) чечмелөө үчүн туура криптографиялык ачкычты алуу боюнча көрсөтмөлөрдү берет.
RaaS жана ransomware алсыздыктары мыйзамсыз болгону менен, мындай чабуулду жасаган кылмышкерлерди кармоо өзгөчө кыйынга турат, анткени алар Tor браузерлерин (ошондой эле пияз роутерлери катары белгилүү) курмандыктарына жетүү жана биткоин төлөмүн талап кылуу үчүн колдонушат.
ФБРдин ырастоосунда, уламдан-улам көбүрөөк зыяндуу программаларды жаратуучулар опузалап алуудан түшкөн кирешенин кыскартылышынын ордуна зыяндуу LCNC (төмөн код/код жок) программаларын таратып жатышат.
RaaS модели кантип иштейт?
Иштеп чыгуучулар жана филиалдар натыйжалуу RaaS чабуулун ишке ашыруу үчүн кызматташат. Иштеп чыгуучулар атайын ransomware кесепеттүү программаларын жазууга жооптуу, ал кийин филиалга сатылат.
Ransomware коду жана чабуулду баштоо боюнча нускамаларды иштеп чыгуучулар камсыз кылат. RaaS колдонуу үчүн жөнөкөй жана аз технологиялык билимди талап кылат.
Караңгы желеге кирүү мүмкүнчүлүгү бар адам порталга кирип, өнөктөш катары кошулуп, бир чыкылдатуу менен чабуулдарды башташы мүмкүн. Филиалдар жайылгысы келген вирустун түрүн тандашат жана баштоо үчүн криптовалюта, адатта Bitcoin аркылуу төлөм жүргүзүшөт.
Иштеп чыгуучу жана өнөктөш кирешени кун төлөнүп, чабуул ийгиликтүү болгондо бөлүшөт. Киреше моделинин түрү каражаттар кандайча бөлүштүрүлгөнүн аныктайт.
Келгиле, бул мыйзамсыз бизнес стратегияларынын бир нечесин карап көрөлү.
Affiliate RaaS
Ар кандай факторлордун, анын ичинде ransomware тобунун брендинин маалымдуулугунан, кампаниянын ийгилигинен, ошондой эле сунушталган кызматтардын калибринен жана ар түрдүүлүгүнөн улам, жер астындагы өнөктөштүк программалар RaaSтин эң белгилүү формаларынын бири болуп калды.
Кылмыштуу уюмдар банданын ичинде ransomware кодун сактап калуу үчүн бизнес тармактарына өз алдынча кире алган хакерлерди көп издешет. Андан кийин алар чабуулду баштоо үчүн вирусту жана жардамды колдонушат.
Бирок, бул критерийлерди канааттандыруу үчүн караңгы желеде корпоративдик тармакка кирүү мүмкүнчүлүгүнүн жакында өсүшүн эске алганда, хакерге мунун кереги деле жок болушу мүмкүн.
Жакшы колдоого алынган, азыраак тажрыйбалуу хакерлер ransomware кодун колдонуу үчүн ай сайын же жылдык акы төлөөнүн ордуна пайда үлүшүнүн ордуна жогорку коркунучтуу чабуулдарды башташат (бирок кээде филиалдар ойноо үчүн акча төлөшү керек болот).
Көпчүлүк учурда, ransomware бандалары компания тармагына кире алган жана сокку урууга эр жүрөк болгон хакерлерди издешет.
Бул системада филиал көп учурда кундун 60% жана 70% алат, калган 30%дан 40%га чейин RaaS операторуна жөнөтүлөт.
Жазылууга негизделген RaaS
Бул тактикада шылуундар ransomware, техникалык колдоо жана вирус жаңыртууларына жетүү үчүн үзгүлтүксүз мүчөлүк акы төлөшөт. Netflix, Spotify же Microsoft Office 365 сыяктуу веб-негизделген жазылуу кызматынын көптөгөн моделдерин ушуга салыштырууга болот.
Адатта, ransomware кылмышкерлери кызмат үчүн алдын ала төлөшсө, кун төлөмүнөн түшкөн кирешенин 100% өздөрүнө сакташат, бул RaaS жеткирүүчүсүнө жараша ай сайын 50 доллардан жүздөгөн долларга чейин болушу мүмкүн.
Бул мүчөлүк акылар 220,000 XNUMX долларга жакын кадимки кун төлөмүнө салыштырмалуу жөнөкөй инвестицияны билдирет. Албетте, өнөктөштүк программалары өз пландарына ойноо үчүн акы төлөө, жазылууга негизделген элементти да кошо алат.
Өмүр бою уруксат
Кесепеттүү программаны өндүрүүчү бир жолку төлөм үчүн пакеттерди сунуш кылууну чечип, жазылуулар жана пайданы бөлүшүү аркылуу кайталануучу акча табуунун ордуна киберчабуулдарга түздөн-түз катышуудан качышы мүмкүн.
Бул учурда киберкылмышкерлер ransomware комплектине өмүр бою жетүү үчүн бир жолку төлөм төлөшөт, алар өздөрү каалаган жол менен колдоно алышат.
Төмөнкү деңгээлдеги кээ бир киберкылмышкерлер бир жолку сатып алууну тандап алышы мүмкүн, ал тургай, ал кыйла кымбатыраак болсо да (татаал комплекттер үчүн он миң доллар), анткени оператор кармалганда, алар үчүн RaaS операторуна туташуу кыйыныраак болот.
RaaS өнөктөштүгү
Ransomware колдонгон киберчабуулдар ар бир хакердин уникалдуу жөндөмүнө ээ болушу керек.
Бул сценарийде бир топ чогулуп, операцияга ар кандай салымдарды берет. Баштоо үчүн ransomware кодун иштеп чыгуучу, корпоративдик тармак хакерлери жана англис тилдүү кун төлөм боюнча сүйлөшүүчү талап кылынат.
Акциядагы ролуна жана маанисине жараша ар бир катышуучу же өнөктөш кирешени бөлүштүрүүгө макул болушат.
RaaS чабуулун кантип аныктоого болот?
Адатта, 100% эффективдүү ransomware чабуулунан коргоо жок. Бирок, фишингдик электрондук почталар ransomware чабуулдарын жүзөгө ашыруу үчүн колдонулган негизги ыкма бойдон калууда.
Ошондуктан, компания кызматкерлери фишинг электрондук почталарын кантип аныктоону мүмкүн болушунча жакшы түшүнүшүнө кепилдик берүү үчүн фишинг тууралуу маалымат берүү тренингин өткөрүшү керек.
Техникалык деңгээлде бизнесте коркунучтарга аңчылык кылуу милдети жүктөлгөн атайын киберкоопсуздук тобу болушу мүмкүн. Коркунучтарга аңчылык кылуу - бул ransomware чабуулдарын аныктоо жана алдын алуу үчүн абдан ийгиликтүү ыкма.
Бул процессте кол салуу векторлору боюнча маалыматты колдонуу менен теория түзүлөт. Түшүнүк жана маалыматтар чабуулдун себебин тез аныктап, аны токтото турган программаны түзүүгө жардам берет.
Тармакта күтүлбөгөн файлдарды аткаруу, шектүү жүрүм-турум, ж.б. үчүн көз салуу үчүн коркунучтарга аңчылык куралдары колдонулат. Ransomware чабуулдарын аныктоо үчүн, алар компромисстин көрсөткүчтөрү (IOCs) үчүн саатты колдонушат.
Кошумчалай кетсек, көптөгөн кырдаалдык коркунучтарга аңчылык моделдери колдонулат, алардын ар бири максаттуу уюмдун тармагына ылайыкташтырылган.
RaaS мисалдары
Ransomware программасынын авторлору RaaS бизнесин куруу канчалык пайдалуу экенин түшүнүштү. Андан тышкары, дээрлик ар бир бизнесте ransomware жайылтуу үчүн RaaS операцияларын түзгөн бир нече коркунучтуу уюмдар бар. Бул RaaS уюмдарынын бир нечеси:
- Караңгы тарабы: Бул эң атактуу RaaS провайдерлеринин бири. Кабарларга караганда, бул кылмыштуу топ 2021-жылдын май айында Colonial Pipeline кол салуунун артында турган. DarkSide 2020-жылдын августунда башталып, 2021-жылдын биринчи айларында активдүүлүгүнүн туу чокусуна жеткен деп болжолдонууда.
- Dharma: Dharma Ransomware алгач 2016-жылы CrySis деген ат менен чыккан. Жылдар бою бир нече Dharma Ransomware вариациялары болгонуна карабастан, Dharma биринчи жолу 2020-жылы RaaS форматында пайда болгон.
- лабиринт: Көптөгөн башка RaaS провайдерлери сыяктуу эле, Maze 2019-жылы дебют жасаган. Колдонуучунун маалыматтарын шифрлөөдөн тышкары, RaaS уюму жабырлануучуларды басынтуу максатында маалыматтарды ачыкка чыгарам деп коркуткан. Maze RaaS расмий түрдө 2020-жылдын ноябрында жабылган, бирок мунун себептери дагы эле бир аз бүдөмүк. Кээ бир окумуштуулар, бирок, ошол эле кылмышкерлер, Egregor сыяктуу ар кандай ысымдар менен уланып келет деп эсептешет.
- DoppelPaymer: Бул бир катар окуяларга байланыштуу, анын ичинде 2020-жылы Германиядагы бейтаптын өмүрүн алган ооруканага каршы.
- Ryuk: RaaS 2019-жылы активдүүрөөк болгонуна карабастан, ал жок дегенде 2017-жылы болгон деп болжолдонууда. Көптөгөн коопсуздук компаниялары, анын ичинде CrowdStrike жана FireEye, кээ бир изилдөөчүлөрдүн бул кийим Түндүк Кореяда жайгашкан деген дооматтарын четке кагышты.
- LockBit: Файл кеңейтүүсү катары уюм жабырлануучу файлдарды шифрлөө үчүн колдонот, “.abcd вирусу” биринчи жолу 2019-жылы сентябрда пайда болгон. LockBitтин максаттуу тармакка автономдуу жайыла алуу мүмкүнчүлүгү анын өзгөчөлүктөрүнүн бири. Болочок чабуулчулар үчүн бул аны керектүү RaaS кылат.
- Няш: Бир нече RaaS провайдерлери бар болсо да, ал 2021-жылы эң кеңири таралган. 2021-жылдын июлунда болгон жана кеминде 1,500 компанияга таасирин тийгизген Касея чабуулу REvil RaaS менен байланышкан. Уюм ошондой эле 2021-жылдын июнь айында эт өндүрүүчү JBS USA кол салуусунун артында турат деп болжолдонууда, ал үчүн жабырлануучу 11 миллион доллар кун төлөшү керек болчу. Ал ошондой эле 2021-жылдын март айында CNA Financial киберкамсыздандыруу провайдерине ransomware чабуулу үчүн жооптуу экени аныкталган.
RaaS чабуулдарын кантип алдын алса болот?
RaaS хакерлери көбүнчө кесепеттүү программаларды жайылтуу үчүн оригиналдуу көрүнүү үчүн атайын түзүлгөн татаал найза-фишинг электрондук почталарын колдонушат. RaaS эксплуатацияларынан коргоо үчүн акыркы колдонуучулар үчүн коопсуздукту маалымдоо боюнча туруктуу тренингдерди колдогон тобокелдиктерди башкаруунун катуу ыкмасы зарыл.
Биринчи жана эң мыкты коргоо - бул акыркы колдонуучуларга фишингдин эң акыркы ыкмалары жана ransomware чабуулдары алардын каржысына жана репутациясына тийгизген коркунучу жөнүндө маалымат берүүчү бизнес маданиятын түзүү. Бул багыттагы демилгелерге төмөнкүлөр кирет:
- Программаны жаңыртуу: Операциялык системалар жана колдонмолор көбүнчө ransomware тарабынан пайдаланылат. Ransomware чабуулдарын токтотууга жардам берүү үчүн, тактар жана жаңыртуулар чыгарылганда программаны жаңыртуу маанилүү.
- Маалыматыңыздын камдык көчүрмөсүн сактоо жана калыбына келтирүү үчүн этият болуңуз: Маалыматтын камдык көчүрмөсүн жана калыбына келтирүү стратегиясын түзүү биринчи жана, балким, эң маанилүү кадам болуп саналат. Берилиштер ransomware тарабынан шифрленгенден кийин колдонуучулар үчүн жараксыз болуп калат. Эгерде компанияда калыбына келтирүү процедурасында колдонула турган учурдагы камдык көчүрмөлөрү болсо, чабуулчу тарабынан маалыматтарды шифрлөөнүн таасири азаят.
- Фишингдин алдын алуу: Электрондук почта аркылуу фишинг – ransomware үчүн чабуулдун типтүү ыкмасы. Эгерде кандайдыр бир антифишингге каршы электрондук почта коргоосу бар болсо, RaaS чабуулдарын алдын алууга болот.
- Көп факторлуу аутентификация: Кээ бир ransomware чабуулчулары бир сайттан башка сайттан уурдалган сырсөздөрдү колдонууну камтыган эсептик маалымат толтурууну колдонушат. Кирүү үчүн дагы эле экинчи фактор талап кылынгандыктан, көп факторлуу аутентификация ашыкча колдонулган бир сырсөздүн таасирин азайтат.
- XDR акыркы чекиттери үчүн коопсуздук: Акыркы чекиттин коопсуздугу жана коркунучка аңчылык кылуу технологиялары, XDR сыяктуу, ransomware каршы коргонуунун кошумча маанилүү катмарын сунуштайт. Бул ransomware коркунучун азайтууга жардам берген өркүндөтүлгөн аныктоо жана жооп берүү мүмкүнчүлүктөрүн сунуштайт.
- DNS чектөө: Ransomware көп учурда RaaS операторунун платформасы менен иштөө үчүн кандайдыр бир буйрук жана башкаруу (C2) серверин колдонот. DNS сурамы дээрлик дайыма вирус жуккан машинадан C2 серверине байланышууга катышат. Уюмдар ransomware RaaS C2 менен өз ара аракеттенүүгө аракет кылып жатканын билип, DNS чыпкалоочу коопсуздук чечиминин жардамы менен байланышты алдын алат. Бул инфекциянын алдын алуунун бир түрү катары иштей алат.
RaaS келечеги
RaaS чабуулдары келечекте хакерлердин арасында кеңири таралган жана популярдуу болуп калат. Акыркы отчетко ылайык, акыркы 60 айдагы бардык киберчабуулдардын 18%дан ашыгы RaaS негизинде болгон.
RaaS аны колдонуу канчалык жөнөкөй жана эч кандай техникалык билимдин кереги жок болгондуктан барган сайын популярдуу болуп баратат. Мындан тышкары, биз маанилүү инфраструктурага багытталган RaaS чабуулдарынын көбөйүшүнө даярданышыбыз керек.
Бул саламаттыкты сактоо, башкаруу, транспорт жана энергетика тармактарын камтыйт. Хакерлер бул маанилүү тармактарды жана мекемелерди болуп көрбөгөндөй ачык деп эсептешет жана ооруканалар жана электр станциялары сыяктуу ишканаларды RaaS чабуулдарынын көз алдында коюшат. жеткирүү чынжыры маселелер 2022-жылга чейин уланат.
жыйынтыктоо
Жыйынтыктап айтканда, Ransomware-as-a-Service (RaaS) санариптик колдонуучуларга жем болуу үчүн жаратылган жана эң акыркы коркунучтардын бири болсо да, бул коркунуч менен күрөшүү үчүн белгилүү бир алдын алуу чараларды көрүү абдан маанилүү.
Башка негизги коопсуздук чараларынан тышкары, сизди мындан ары бул коркунучтан коргоо үчүн эң алдыңкы антивирус куралдарына да таянсаңыз болот. Тилекке каршы, RaaS ушул убакка чейин калуу үчүн бул жерде окшойт.
Ийгиликтүү RaaS чабуулунун ыктымалдыгын азайтуу үчүн сизге RaaS чабуулдарынан коргоо үчүн комплекстүү технология жана киберкоопсуздук планы керек болот.
Таштап Жооп