Ransomware vargu ar yra visiškai nauja grėsmė internete. Jo šaknys siekia daugelį metų. Ši grėsmė laikui bėgant tik darėsi pavojingesnė ir negailestingesnė.
Žodis „išpirkos programinė įranga“ sulaukė plataus pripažinimo dėl kibernetinių atakų, dėl kurių pastaraisiais metais daugelis įmonių tapo nebenaudojamos.
Visi jūsų kompiuteryje esantys failai buvo atsisiųsti ir užšifruoti, o tada ekranas užtemsta ir pasirodo pranešimas sutrinka anglų kalba.
Yprivalote sumokėti išpirką juodosios kepurės kibernetiniams nusikaltėliams Bitcoin ar kitomis neatsekamomis kriptovaliutomis, kad gautumėte iššifravimo raktą arba neleistumėte atskleisti jūsų neskelbtinų duomenų tamsiajame žiniatinklyje.
Tačiau mažiau gali žinoti apie ransomware-as-a-Service – gerai organizuotą nusikalstamo pasaulio verslo modelį, galintį vykdyti tokio tipo atakas (arba RaaS).
Užuot patys rengę atakas, išpirkos reikalaujančių programų kūrėjai išnuomoja savo brangius virusus mažiau patyrusiems kibernetiniams nusikaltėliams, kurie yra pasirengę prisiimti riziką, susijusią su išpirkos reikalaujančių programų vykdymu.
Tačiau kaip visa tai veikia? Kas vadovauja hierarchijai ir kas veikia kaip tarpininkai? Ir galbūt dar svarbiau, kaip galite apginti savo verslą ir save nuo šių žalingų išpuolių?
Skaitykite toliau, kad sužinotumėte daugiau apie RaaS.
Kas yra Ransomware kaip paslauga (RaaS)?
„Ransomware-as-a-service“ (RaaS) yra nusikalstamos įmonės verslo modelis, leidžiantis bet kam prisijungti ir naudoti įrankius išpirkos reikalaujančių programų atakoms pradėti.
RaaS vartotojai, kaip ir tie, kurie naudoja kitus kaip paslaugos modelius, tokius kaip programinė įranga kaip paslauga (SaaS) arba platforma kaip paslauga (PaaS), nuomojasi, o ne turi išpirkos reikalaujančių programų paslaugas.
Tai mažo kodo, programinės įrangos kaip paslaugos atakų vektorius, leidžiantis nusikaltėliams tamsiajame žiniatinklyje nusipirkti išpirkos reikalaujančią programinę įrangą ir vykdyti išpirkos reikalaujančių programų atakas, nežinodami, kaip koduoti.
Sukčiavimo el. paštu schemos yra dažnas RaaS pažeidžiamumų atakų vektorius.
Kai auka spusteli kenkėjišką nuorodą užpuoliko el. laiške, išpirkos reikalaujanti programa atsisiunčiama ir išplinta paveiktame kompiuteryje, išjungiant užkardas ir antivirusinę programinę įrangą.
RaaS programinė įranga gali ieškoti būdų, kaip padidinti privilegijas, kai aukos perimetro apsauga buvo pažeista, ir galiausiai paimti įkaite visą organizaciją, užšifruodama failus iki taško, kur jie nepasiekiami.
Kai auka bus informuota apie išpuolį, programa pateiks jai instrukcijas, kaip sumokėti išpirką ir (idealiu atveju) gauti tinkamą kriptografinį raktą iššifruoti.
Nors „RaaS“ ir „ransomware“ pažeidžiamumas yra neteisėtas, nusikaltėlius, vykdančius tokio pobūdžio užpuolimą, gali būti ypač sunku sulaikyti, nes jie naudoja „Tor“ naršykles (taip pat žinomas kaip svogūnų maršrutizatoriai), norėdami pasiekti savo aukas ir reikalauti išpirkos už bitkoinus.
FTB teigia, kad vis daugiau kenkėjiškų programų kūrėjų skleidžia savo kenksmingas LCNC (žemo kodo/be kodo) programas mainais į pajamų, gautų iš turto prievartavimo, sumažinimą.
Kaip veikia RaaS modelis?
Kūrėjai ir filialai bendradarbiauja, kad įvykdytų veiksmingą RaaS ataką. Kūrėjai yra atsakingi už specializuotų išpirkos reikalaujančių kenkėjiškų programų rašymą, kuri vėliau parduodama filialui.
Išpirkos reikalaujantį kodą ir instrukcijas, kaip pradėti puolimą, pateikia kūrėjai. „RaaS“ yra paprasta naudoti ir reikalauja mažai technologinių žinių.
Kiekvienas, turintis prieigą prie tamsaus žiniatinklio, gali patekti į portalą, prisijungti kaip filialas ir vienu spustelėjimu pradėti puolimą. Filialai pasirenka viruso rūšį, kurią nori platinti, ir, norėdami pradėti, atlieka mokėjimą naudodami kriptovaliutą, dažniausiai Bitcoin.
Kūrėjas ir filialas padalija pajamas, kai sumokami išpirkos pinigai ir ataka būna sėkminga. Pajamų modelio tipas lemia, kaip paskirstomos lėšos.
Panagrinėkime keletą šių nelegalaus verslo strategijų.
„RaaS“ filialas
Dėl įvairių veiksnių, įskaitant ransomware grupės prekės ženklo žinomumą, kampanijų sėkmės rodiklius ir siūlomų paslaugų kalibrą bei įvairovę, pogrindinės filialų programos tapo viena žinomiausių RaaS formų.
Nusikalstamos organizacijos dažnai ieško įsilaužėlių, kurie galėtų patys patekti į verslo tinklus, kad gaujoje išlaikytų savo išpirkos reikalaujantį kodą. Tada jie naudoja virusą ir pagalbą puolimui pradėti.
Tačiau įsilaužėliui to gali net neprireikti, atsižvelgiant į tai, kad pastaruoju metu tamsiajame žiniatinklyje atsirado galimybė parduoti įmonės tinklą, kad atitiktų šiuos kriterijus.
Gerai palaikomi, mažiau patyrę įsilaužėliai pradeda didelės rizikos puolimą mainais į pelno dalį, o ne mokėdami mėnesinį ar metinį mokestį už išpirkos reikalaujančio kodo naudojimą (tačiau kartais filialams gali tekti mokėti už žaidimą).
Dažniausiai išpirkos reikalaujančių programų gaujos ieško įsilaužėlių, turinčių pakankamai įgūdžių įsilaužti į įmonės tinklą ir pakankamai drąsių, kad įvykdytų smūgį.
Šioje sistemoje filialas dažnai gauna nuo 60% iki 70% išpirkos, o likusieji 30% iki 40% siunčiami RaaS operatoriui.
Prenumerata pagrįstas RaaS
Taikydami šią taktiką sukčiai reguliariai moka narystės mokestį, kad galėtų naudotis išpirkos reikalaujančiomis programomis, technine pagalba ir virusų atnaujinimais. Daugelis internetinių prenumeratos paslaugų modelių, pvz., „Netflix“, „Spotify“ arba „Microsoft Office 365“, yra panašūs į tai.
Paprastai išpirkos programinės įrangos pažeidėjai pasilieka 100% pajamų iš išpirkos mokėjimų, jei už paslaugą sumoka iš anksto, o tai gali kainuoti nuo 50 USD iki šimtų dolerių kiekvieną mėnesį, priklausomai nuo „RaaS“ tiekėjo.
Šie narystės mokesčiai yra nedidelė investicija, palyginti su įprastu maždaug 220,000 XNUMX USD išpirkos mokėjimu. Žinoma, dukterinės programos į savo planus taip pat gali įtraukti mokėjimo už žaidimą elementą, pagrįstą prenumerata.
Leidimas visam gyvenimui
Kenkėjiškų programų gamintojas gali nuspręsti pasiūlyti paketus už vienkartinį mokėjimą ir nesinaudoti galimybe tiesiogiai dalyvauti kibernetinėse atakose, užuot užsidirbęs pasikartojančių pinigų iš prenumeratos ir pelno pasidalijimo.
Šiuo atveju kibernetiniai nusikaltėliai moka vienkartinį mokestį, kad visą gyvenimą gautų prieigą prie išpirkos reikalaujančių programų rinkinio, kurį jie gali naudoti bet kokiu būdu, kaip jiems atrodo tinkama.
Kai kurie žemesnio lygio kibernetiniai nusikaltėliai gali pasirinkti vienkartinį pirkinį, net jei jis yra žymiai brangesnis (dešimtys tūkstančių dolerių už sudėtingus rinkinius), nes jiems būtų sunkiau prisijungti prie RaaS operatoriaus, jei operatorius būtų sulaikytas.
RaaS partnerystės
Kibernetinėms atakoms naudojant išpirkos reikalaujančią programinę įrangą reikia, kad kiekvienas įsilaužėlis turėtų unikalių gebėjimų.
Pagal šį scenarijų grupė susiburtų ir įvairiai prisidėtų prie operacijos. Norint pradėti, reikalingas išpirkos reikalaujančio kodo kūrėjas, įmonių tinklo įsilaužėliai ir angliškai kalbantis derybininkas dėl išpirkos.
Priklausomai nuo savo vaidmens ir reikšmės kampanijoje, kiekvienas dalyvis ar partneris sutiktų padalyti uždarbį.
Kaip aptikti RaaS ataką?
Paprastai nėra 100% veiksmingos apsaugos nuo išpirkos programų. Tačiau sukčiavimo el. laiškai išlieka pagrindiniu metodu, naudojamu išpirkos reikalaujančių programų atakoms vykdyti.
Todėl įmonė turi surengti informuotumo apie sukčiavimą mokymus, kad darbuotojai kuo geriau suprastų, kaip aptikti sukčiavimo el. laiškus.
Techniniu lygmeniu įmonės gali turėti specializuotą kibernetinio saugumo komandą, kuriai pavesta ieškoti grėsmių. Grėsmių paieška yra labai sėkmingas būdas aptikti išpirkos reikalaujančių programų užpuolimus ir užkirsti jiems kelią.
Šiame procese sukuriama teorija, naudojant informaciją apie puolimo vektorius. Nuojauta ir duomenys padeda sukurti programą, kuri galėtų greitai nustatyti užpuolimo priežastį ir jį sustabdyti.
Kad tinkle neatsirastų netikėtų failų vykdymo, įtartinų veiksmų ir pan., naudojami grėsmių paieškos įrankiai. Norėdami nustatyti bandytas išpirkos reikalaujančių programų atakas, jie naudoja laikrodį, skirtą kompromiso indikatoriams (IOC).
Be to, naudojama daug situacinių grėsmių medžioklės modelių, kurių kiekvienas yra pritaikytas tikslinės organizacijos pramonei.
RaaS pavyzdžiai
Išpirkos reikalaujančių programų autoriai ką tik suprato, kaip pelninga kurti RaaS verslą. Be to, kelios grėsmės subjektų organizacijos pradėjo vykdyti RaaS operacijas, siekdamos platinti išpirkos reikalaujančias programas beveik visose įmonėse. Štai keletas „RaaS“ organizacijų:
- Tamsioji pusė: Tai vienas liūdniausių RaaS tiekėjų. Remiantis pranešimais, ši gauja buvo už atakos prieš kolonijinį vamzdyną 2021 m. gegužę. Manoma, kad „DarkSide“ pradėjo veikti 2020 m. rugpjūtį, o aktyvumo viršūnę pasiekė pirmaisiais 2021 m. mėnesiais.
- Dharmos: Dharma Ransomware iš pradžių pasirodė 2016 m. pavadinimu CrySis. Nors daugelį metų buvo keletas Dharma Ransomware variantų, Dharma pirmą kartą pasirodė RaaS formatu 2020 m.
- Labirintas: Kaip ir daugelis kitų „RaaS“ tiekėjų, „Maze“ debiutavo 2019 m. RaaS organizacija ne tik šifravo vartotojų duomenis, bet ir pagrasino viešai paskelbti duomenis, siekdama pažeminti aukas. „Maze RaaS“ oficialiai uždarytas 2020 m. lapkritį, nors to priežastys vis dar šiek tiek miglotos. Tačiau kai kurie akademikai mano, kad tie patys pažeidėjai išliko įvairiais vardais, pavyzdžiui, Egregor.
- „DoppelPaymer“: Tai buvo susiję su daugybe įvykių, įskaitant vieną 2020 m. prieš ligoninę Vokietijoje, pareikalavusią paciento gyvybės.
- Ryuk: Nors RaaS buvo aktyvesnis 2019 m., manoma, kad jis egzistavo bent 2017 m. Daugelis saugos kompanijų, įskaitant CrowdStrike ir FireEye, paneigė kai kurių tyrėjų teiginius, kad apranga yra Šiaurės Korėjoje.
- LockBit: Kaip failo plėtinį, organizacija naudoja aukos failams šifruoti „.abcd virusą“, pirmą kartą pasirodė 2019 m. rugsėjį. Viena iš jos funkcijų yra „LockBit“ gebėjimas savarankiškai plisti tiksliniame tinkle. Dėl to galimiems užpuolikams tai yra pageidautina „RaaS“.
- Piktas: Nors yra keli „RaaS“ teikėjai, 2021 m. jis buvo labiausiai paplitęs. „Kaseya“ puolimas, įvykęs 2021 m. liepos mėn. ir turėjęs įtakos mažiausiai 1,500 2021 įmonių, buvo susietas su „REvil RaaS“. Manoma, kad ši organizacija taip pat prisidėjo prie 11 metų birželį įvykdytos atakos prieš mėsos gamintoją JBS USA, už kurią auka turėjo sumokėti 2021 milijonų dolerių išpirką. Taip pat buvo nustatyta, kad ji atsakinga už išpirkos reikalaujančios programinės įrangos puolimą prieš kibernetinio draudimo tiekėją CNA Financial XNUMX m. kovo mėn.
Kaip išvengti RaaS atakų?
RaaS įsilaužėliai dažniausiai naudoja sudėtingus sukčiavimo el. laiškus, kurie yra profesionaliai sukurti taip, kad atrodytų autentiški, kad platintų kenkėjiškas programas. Norint apsisaugoti nuo RaaS išnaudojimų, būtinas patikimas rizikos valdymo metodas, palaikantis nuolatinius galutinių naudotojų saugumo mokymus.
Pirmoji ir geriausia apsauga – sukurti verslo kultūrą, kuri informuotų galutinius vartotojus apie naujausius sukčiavimo būdus ir pavojus, kuriuos išpirkos reikalaujančios programinės įrangos atakos kelia jų finansams ir reputacijai. Iniciatyvos šiuo klausimu apima:
- Programinės įrangos atnaujinimai: išpirkos reikalaujančios programos dažnai išnaudoja operacines sistemas ir programas. Norint sustabdyti išpirkos reikalaujančių programų atakas, svarbu atnaujinti programinę įrangą, kai išleidžiami pataisymai ir naujinimai.
- Atsargiai kurkite atsargines duomenų kopijas ir atkurkite: Duomenų atsarginės kopijos ir atkūrimo strategijos sukūrimas yra pirmasis ir, ko gero, pats svarbiausias žingsnis. Duomenys vartotojams tampa netinkami naudoti po išpirkos reikalaujančios programinės įrangos šifravimo. Užpuoliko vykdomo duomenų šifravimo poveikis gali būti sumažintas, jei įmonė turi dabartinių atsarginių kopijų, kurias galima panaudoti atkūrimo procedūroje.
- Sukčiavimo prevencija: Sukčiavimas el. laiškais yra tipiškas išpirkos reikalaujančių programų atakos būdas. RaaS atakų galima išvengti, jei yra tam tikra el. pašto apsauga nuo sukčiavimo.
- Kelių veiksnių autentifikavimas: kai kurie išpirkos reikalaujantys užpuolikai naudoja kredencialų užpildymą, o tai apima pavogtus slaptažodžius iš vienos svetainės kitoje. Kadangi prieigai gauti vis dar reikalingas antras veiksnys, daugiafaktorinis autentifikavimas sumažina vieno slaptažodžio, kuris per daug naudojamas, poveikį.
- XDR galinių taškų saugumas: Endpoint saugumo ir grėsmių paieškos technologijos, tokios kaip XDR, siūlo papildomą itin svarbų apsaugos nuo išpirkos reikalaujančių programų lygį. Tai suteikia patobulintas aptikimo ir reagavimo galimybes, kurios padeda sumažinti išpirkos reikalaujančių programų pavojų.
- DNS apribojimas: Ransomware dažnai naudoja tam tikrą komandų ir valdymo (C2) serverį, kad galėtų susieti su RaaS operatoriaus platforma. DNS užklausa beveik visada yra susijusi su ryšiu iš užkrėsto įrenginio su C2 serveriu. Organizacijos gali atpažinti, kai išpirkos reikalaujančios programos bando sąveikauti su RaaS C2, ir užkirsti kelią ryšiui naudodamos DNS filtravimo saugos sprendimą. Tai gali būti tam tikra infekcijų prevencijos rūšis.
RaaS ateitis
Ateityje „RaaS“ išpuoliai taps labiau paplitę ir labiau mėgstami įsilaužėlių. Remiantis naujausia ataskaita, daugiau nei 60 % visų kibernetinių atakų per pastaruosius 18 mėnesių buvo pagrįstos RaaS.
RaaS tampa vis populiaresnis dėl to, kaip paprasta jį naudoti ir dėl to, kad nereikia jokių techninių žinių. Be to, turėtume pasiruošti RaaS atakų, nukreiptų prieš gyvybiškai svarbią infrastruktūrą, padaugėjimui.
Tai apima sveikatos priežiūros, administravimo, transporto ir energetikos sritis. Piratai mano, kad šios svarbios pramonės šakos ir institucijos yra labiau pažeidžiamos nei bet kada anksčiau, todėl tokie subjektai kaip ligoninės ir elektrinės patenka į RaaS atakų akiratį. tiekimo grandinės problemos tęsiasi iki 2022 m.
Išvada
Apibendrinant galima pasakyti, kad net jei Ransomware-as-a-Service (RaaS) yra kūrinys ir vienas iš naujausių pavojų, su kuriais susiduria skaitmeniniai vartotojai, labai svarbu imtis tam tikrų prevencinių priemonių kovojant su šia grėsme.
Be kitų pagrindinių saugumo priemonių, taip pat galite pasikliauti pažangiausiais apsaugos nuo kenkėjiškų programų įrankiais, kurie dar labiau apsaugo jus nuo šios grėsmės. Deja, atrodo, kad RaaS kol kas pasiliks.
Jums reikės išsamaus technologijų ir kibernetinio saugumo plano, kad apsisaugotumėte nuo RaaS atakų ir sumažintumėte sėkmingo RaaS užpuolimo tikimybę.
Palikti atsakymą