Ransomware gandrīz nav jauns drauds internetā. Tās saknes sniedzas daudzus gadus senā pagātnē. Šis drauds laika gaitā ir tikai kļuvis bīstamāks un nežēlīgāks.
Vārds “izspiedējprogrammatūra” ir guvis plašu atpazīstamību kiberuzbrukumu bombardēšanas rezultātā, kas pēdējos gados ir padarījuši daudzus uzņēmumus nelietojamus.
Visi jūsu datorā esošie faili ir lejupielādēti un šifrēti, un ekrāns kļūst melns un tiek parādīts ziņojums angļu valodā.
Yjums ir jāmaksā izpirkuma maksa melnās cepures kibernoziedzniekiem Bitcoin vai citās neizsekojamās kriptovalūtās, lai iegūtu atšifrēšanas atslēgu vai novērstu jūsu sensitīvo datu izpaušanu tumšajā tīmeklī.
Taču mazāk cilvēku var zināt par ransomware-as-a-Service — labi organizētu pazemes biznesa modeli, kas var veikt šāda veida uzbrukumus (vai RaaS).
Tā vietā, lai paši veiktu uzbrukumus, izpirkuma programmatūras veidotāji iznomā savus dārgos vīrusus mazāk pieredzējušiem kibernoziedzniekiem, kuri ir gatavi uzņemties risku, kas saistīts ar izpirkuma programmatūras operāciju veikšanu.
Kā tas viss tomēr darbojas? Kas vada hierarhiju un kas darbojas kā starpnieki? Un varbūt vēl svarīgāk, kā jūs varat aizsargāt savu biznesu un sevi pret šiem kropļojošajiem uzbrukumiem?
Turpiniet lasīt, lai uzzinātu vairāk par RaaS.
Kas ir Ransomware kā pakalpojums (RaaS)?
Ransomware-as-a-service (RaaS) ir noziedzīga uzņēmuma biznesa modelis, kas ļauj ikvienam pievienoties un izmantot rīkus, lai uzsāktu izspiedējvīrusu uzbrukumus.
RaaS lietotāji, tāpat kā tie, kuri izmanto citus kā pakalpojuma modeļus, piemēram, programmatūru kā pakalpojumu (SaaS) vai platformu kā pakalpojumu (PaaS), īrē, nevis izmanto izpirkuma programmatūras pakalpojumus.
Tas ir zema koda programmatūras kā pakalpojuma uzbrukuma vektors, kas ļauj noziedzniekiem tumšajā tīmeklī iegādāties izspiedējvīrusu programmatūru un veikt izspiedējvīrusu uzbrukumus, nezinot, kā kodēt.
E-pasta pikšķerēšanas shēmas ir izplatīts RaaS ievainojamību uzbrukuma vektors.
Kad upuris noklikšķina uz ļaunprātīgas saites uzbrucēja e-pastā, izspiedējvīrusa programmatūra tiek lejupielādēta un izplatīta ietekmētajā datorā, atspējojot ugunsmūrus un pretvīrusu programmatūru.
RaaS programmatūra var meklēt veidus, kā paaugstināt privilēģijas, kad cietušā perimetra aizsardzība ir pārkāpta, un galu galā turēt visu organizāciju par ķīlnieku, šifrējot failus līdz vietai, kur tie nav sasniedzami.
Kad upuris ir informēts par uzbrukumu, programma sniegs viņam norādījumus, kā samaksāt izpirkuma maksu un (ideālā gadījumā) iegūt pareizo kriptogrāfisko atslēgu atšifrēšanai.
Lai gan RaaS un izpirkuma programmatūras ievainojamība ir nelikumīga, noziedzniekus, kuri veic šāda veida uzbrukumu, var būt īpaši grūti aizturēt, jo viņi izmanto Tor pārlūkprogrammas (pazīstamas arī kā sīpolu maršrutētājus), lai piekļūtu saviem upuriem un pieprasītu bitcoin izpirkuma maksu.
FIB apgalvo, ka arvien vairāk ļaunprātīgas programmatūras veidotāju izplata savas kaitīgās LCNC (zema koda/bez koda) programmas apmaiņā pret izspiešanas ieņēmumu samazināšanu.
Kā darbojas RaaS modelis?
Izstrādātāji un saistītie uzņēmumi sadarbojas, lai veiktu efektīvu RaaS uzbrukumu. Izstrādātāji ir atbildīgi par specializētas izspiedējvīrusu ļaunprātīgas programmatūras rakstīšanu, kas pēc tam tiek pārdota saistītajam uzņēmumam.
Izspiedējvīrusa kodu un instrukcijas uzbrukuma uzsākšanai nodrošina izstrādātāji. RaaS ir vienkārši lietojams un prasa maz tehnoloģisku zināšanu.
Ikviens, kam ir piekļuve tumšajam tīmeklim, var ienākt portālā, pievienoties kā filiāle un ar vienu klikšķi uzsākt uzbrukumus. Saistītie uzņēmumi izvēlas vīrusu veidu, ko vēlas izplatīt, un, lai sāktu, veic maksājumu, izmantojot kriptovalūtu, parasti Bitcoin.
Izstrādātājs un saistītais uzņēmums sadala ieņēmumus, kad tiek samaksāta izpirkuma nauda un uzbrukums ir veiksmīgs. Ieņēmumu modeļa veids nosaka līdzekļu piešķiršanu.
Apskatīsim dažas no šīm nelegālajām uzņēmējdarbības stratēģijām.
Filiāle RaaS
Pateicoties dažādiem faktoriem, tostarp izpirkuma programmatūras grupas zīmola atpazīstamībai, kampaņu panākumu rādītājiem, kā arī piedāvāto pakalpojumu kalibram un daudzveidībai, pagrīdes saistītās programmas ir kļuvušas par vienu no vispazīstamākajiem RaaS veidiem.
Noziedzīgās organizācijas bieži meklē hakerus, kuri paši var iekļūt biznesa tīklos, lai saglabātu savu izspiedējvīrusu kodu bandā. Pēc tam viņi izmanto vīrusu un palīdzību, lai uzsāktu uzbrukumu.
Tomēr hakeram tas, iespējams, pat nav vajadzīgs, ņemot vērā neseno korporatīvo tīklu pieejamības pieaugumu tumšajā tīmeklī, lai izpildītu šos kritērijus.
Labi atbalstīti, mazāk pieredzējuši hakeri uzsāk augsta riska uzbrukumus apmaiņā pret peļņas daļu, nevis maksājot ikmēneša vai gada maksu par izspiedējvīrusa koda izmantošanu (taču dažkārt saistītajiem uzņēmumiem var būt jāmaksā par spēlēšanu).
Lielāko daļu laika izspiedējvīrusu grupas meklē hakerus, kas ir pietiekami kvalificēti, lai iekļūtu uzņēmuma tīklā, un pietiekami drosmīgi, lai veiktu uzbrukumu.
Šajā sistēmā saistītais uzņēmums bieži saņem no 60% līdz 70% no izpirkuma maksas, bet atlikušie 30% līdz 40% tiek nosūtīti RaaS operatoram.
RaaS, pamatojoties uz abonementu
Izmantojot šo taktiku, krāpnieki regulāri maksā dalības maksu, lai piekļūtu izspiedējprogrammatūrai, tehniskajam atbalstam un vīrusu atjauninājumiem. Daudzi tīmekļa abonēšanas pakalpojumu modeļi, piemēram, Netflix, Spotify vai Microsoft Office 365, ir salīdzināmi ar to.
Parasti izpirkuma programmatūras likumpārkāpēji patur sev 100% no ieņēmumiem no izpirkuma maksas, ja viņi maksā par pakalpojumu avansā, kas atkarībā no RaaS piegādātāja katru mēnesi var maksāt no 50 līdz simtiem dolāru.
Šīs dalības maksas ir pieticīgs ieguldījums, salīdzinot ar parasto izpirkuma maksu aptuveni 220,000 XNUMX USD apmērā. Protams, saistītās programmas savos plānos var iekļaut arī maksas par spēlēšanu elementu, kas balstīts uz abonementu.
Mūža atļauja
Ļaunprātīgas programmatūras ražotājs var nolemt piedāvāt komplektus par vienreizēju maksājumu un izvairīties no iespējas būt tieši iesaistītam kiberuzbrukumos, tā vietā, lai nopelnītu periodisku naudu, izmantojot abonementus un peļņas sadali.
Šajā gadījumā kibernoziedznieki maksā vienreizēju maksu, lai iegūtu mūža piekļuvi izpirkuma programmatūras komplektam, ko viņi var izmantot jebkurā veidā, ko viņi uzskata par piemērotu.
Daži zemāka līmeņa kibernoziedznieki varētu izvēlēties vienreizēju pirkumu pat tad, ja tas ir ievērojami dārgāks (desmitiem tūkstošu dolāru par sarežģītiem komplektiem), jo viņiem būtu grūtāk izveidot savienojumu ar RaaS operatoru, ja operators tiktu aizturēts.
RaaS partnerattiecības
Lai veiktu kiberuzbrukumus, izmantojot izpirkuma programmatūru, katram iesaistītajam hakeram ir jābūt unikālam spēju kopumam.
Šajā scenārijā grupa sanāktu kopā un sniegtu dažādus ieguldījumus operācijā. Lai sāktu darbu, ir nepieciešams izpirkuma programmatūras koda izstrādātājs, korporatīvo tīklu hakeri un angliski runājošs izpirkuma maksas sarunu vedējs.
Atkarībā no savas lomas un nozīmes kampaņā katrs dalībnieks vai partneris piekristu sadalīt ienākumus.
Kā atklāt RaaS uzbrukumu?
Parasti nav 100% efektīvas aizsardzības pret izspiedējvīrusu uzbrukumiem. Tomēr pikšķerēšanas e-pasta ziņojumi joprojām ir galvenā metode, ko izmanto, lai veiktu izspiedējvīrusu uzbrukumus.
Tāpēc uzņēmumam ir jānodrošina apmācības par pikšķerēšanas izpratni, lai nodrošinātu, ka darbiniekiem ir vislabākā iespējamā izpratne par to, kā pamanīt pikšķerēšanas e-pastus.
Tehniskā līmenī uzņēmumiem varētu būt specializēta kiberdrošības komanda, kuras uzdevums ir meklēt draudus. Draudi medības ir ļoti veiksmīga metode, lai atklātu un novērstu izspiedējvīrusu uzbrukumus.
Šajā procesā tiek izveidota teorija, izmantojot informāciju par uzbrukuma vektoriem. Nojausma un dati palīdz izveidot programmu, kas varētu ātri noteikt uzbrukuma cēloni un apturēt to.
Lai uzraudzītu neparedzētu failu izpildi, aizdomīgu uzvedību utt. tīklā, tiek izmantoti draudu meklēšanas rīki. Lai identificētu izspiedējvīrusu uzbrukumu mēģinājumus, viņi izmanto kompromitēšanas indikatoru (IOC) pulksteni.
Turklāt tiek izmantoti daudzi situācijas draudu meklēšanas modeļi, no kuriem katrs ir pielāgots mērķa organizācijas nozarei.
RaaS piemēri
Izpirkuma programmatūras autori tikko ir sapratuši, cik izdevīgi ir veidot RaaS biznesu. Turklāt ir bijušas vairākas apdraudējumu organizācijas, kas izveido RaaS operācijas, lai izplatītu izspiedējvīrusu gandrīz visos uzņēmumos. Šīs ir dažas no RaaS organizācijām:
- Tumšā puse: Tas ir viens no bēdīgi slavenākajiem RaaS pakalpojumu sniedzējiem. Saskaņā ar ziņojumiem šī banda bija aiz uzbrukuma koloniālajam cauruļvadam 2021. gada maijā. Tiek uzskatīts, ka DarkSide sākās 2020. gada augustā un sasniedza maksimumu 2021. gada pirmajos mēnešos.
- Dharma: Dharma Ransomware sākotnēji parādījās 2016. gadā ar nosaukumu CrySis. Lai gan gadu gaitā ir bijušas vairākas Dharma Ransomware variācijas, Dharma pirmo reizi parādījās RaaS formātā 2020. gadā.
- Labirints: Tāpat kā daudzi citi RaaS pakalpojumu sniedzēji, Maze debitēja 2019. gadā. Papildus lietotāju datu šifrēšanai RaaS organizācija draudēja publiskot datus, cenšoties pazemot upurus. Maze RaaS oficiāli tika slēgts 2020. gada novembrī, lai gan iemesli joprojām ir nedaudz neskaidri. Tomēr daži akadēmiķi uzskata, ka tie paši likumpārkāpēji ir pastāvējuši ar dažādiem nosaukumiem, piemēram, Egregor.
- DoppelPaymer: Tas ir saistīts ar vairākiem notikumiem, tostarp vienu 2020. gadā pret slimnīcu Vācijā, kas prasīja pacienta dzīvību.
- Ryuk: Lai gan RaaS bija aktīvāks 2019. gadā, tiek uzskatīts, ka tas pastāvēja vismaz 2017. gadā. Daudzi drošības uzņēmumi, tostarp CrowdStrike un FireEye, ir nolieguši noteiktu pētnieku apgalvojumus, ka apģērbs atrodas Ziemeļkorejā.
- LockBit: kā faila paplašinājumu organizācija izmanto upuru failu šifrēšanai “.abcd vīruss”, kas pirmo reizi parādījās 2019. gada septembrī. Viena no tās funkcijām ir LockBit spēja autonomi izplatīties mērķa tīklā. Iespējamiem uzbrucējiem tas padara to par vēlamu RaaS.
- Ļauns: Lai gan ir vairāki RaaS nodrošinātāji, tas bija visizplatītākais 2021. gadā. Kaseya uzbrukums, kas notika 2021. gada jūlijā un ietekmēja vismaz 1,500 uzņēmumus, bija saistīts ar REvil RaaS. Tiek uzskatīts, ka organizācija ir bijusi arī aiz 2021. gada jūnijā notikušā uzbrukuma gaļas ražotājam JBS USA, par ko upurim bija jāmaksā 11 miljonu dolāru izpirkuma maksa. Tika arī konstatēts, ka tas ir atbildīgs par izpirkuma programmatūras uzbrukumu kiberapdrošināšanas sniedzējam CNA Financial 2021. gada martā.
Kā novērst RaaS uzbrukumus?
RaaS hakeri ļaunprātīgas programmatūras izplatīšanai visbiežāk izmanto sarežģītus pikšķerēšanas e-pastus, kas ir prasmīgi izveidoti tā, lai tie šķiet autentiski. Lai aizsargātu pret RaaS ļaunprātīgu izmantošanu, ir nepieciešama stabila riska pārvaldības pieeja, kas atbalsta pastāvīgu drošības izpratnes apmācību galalietotājiem.
Pirmā un labākā aizsardzība ir izveidot biznesa kultūru, kas informē galalietotājus par jaunākajām pikšķerēšanas metodēm un apdraudējumiem, ko izspiedējvīrusu uzbrukumi rada viņu finansēm un reputācijai. Iniciatīvas šajā sakarā ietver:
- Programmatūras jauninājumi: izspiedējprogrammatūra bieži izmanto operētājsistēmas un lietotnes. Lai palīdzētu apturēt izspiedējvīrusu uzbrukumus, ir svarīgi atjaunināt programmatūru, kad tiek izlaisti ielāpi un atjauninājumi.
- Rūpīgi dublējiet un atjaunojiet savus datus: Datu dublēšanas un atkopšanas stratēģijas izveide ir pirmais un, iespējams, vissvarīgākais solis. Pēc izspiedējprogrammatūras šifrēšanas dati kļūst lietotājiem neizmantojami. Uzbrucēja veiktās datu šifrēšanas ietekmi var mazināt, ja uzņēmumam ir aktuālas dublējumkopijas, kuras var izmantot atkopšanas procedūrā.
- Pikšķerēšanas novēršana: pikšķerēšana, izmantojot e-pastus, ir tipiska izspiedējprogrammatūras uzbrukuma metode. RaaS uzbrukumus var novērst, ja ir ieviesta kāda veida e-pasta aizsardzība pret pikšķerēšanu.
- Vairāku faktoru autentifikācija: daži izspiedējvīrusu uzbrucēji izmanto akreditācijas datu papildināšanu, kas ietver zagtu paroļu izmantošanu no vienas vietnes citā. Tā kā piekļuvei joprojām ir nepieciešams otrs faktors, daudzfaktoru autentifikācija samazina pārmērīgi izmantotas vienas paroles ietekmi.
- XDR galapunktu drošība: galapunktu drošības un draudu meklēšanas tehnoloģijas, piemēram, XDR, piedāvā papildu būtisku aizsardzības līmeni pret izspiedējprogrammatūru. Tas piedāvā uzlabotas noteikšanas un reaģēšanas iespējas, kas palīdz samazināt izspiedējprogrammatūras risku.
- DNS ierobežojums: Ransomware bieži izmanto sava veida komandu un kontroles (C2) serveri, lai saskartos ar RaaS operatora platformu. DNS vaicājums gandrīz vienmēr ir iesaistīts saziņā no inficētas iekārtas uz C2 serveri. Organizācijas var atpazīt, kad izpirkuma programmatūra mēģina mijiedarboties ar RaaS C2, un novērst saziņu, izmantojot DNS filtrēšanas drošības risinājumu. Tas var darboties kā infekcijas profilakses veids.
RaaS nākotne
RaaS uzbrukumi nākotnē kļūs arvien izplatītāki un iecienītāki hakeru vidū. Saskaņā ar jaunāko ziņojumu vairāk nekā 60% no visiem pēdējo 18 mēnešu laikā notikušajiem kiberuzbrukumiem bija RaaS pamatā.
RaaS kļūst arvien populārāks, jo tas ir vienkārši lietojams un nav nepieciešamas nekādas tehniskās zināšanas. Turklāt mums vajadzētu sagatavoties RaaS uzbrukumu pieaugumam, kas vērsti uz dzīvībai svarīgo infrastruktūru.
Tas attiecas uz veselības aprūpi, administrāciju, transportu un enerģētiku. Hakeri uzskata, ka šīs svarīgās nozares un institūcijas ir vairāk pakļautas nekā jebkad agrāk, tādējādi radot tādas struktūras kā slimnīcas un spēkstacijas RaaS uzbrukumu redzeslokā. piegādes ķēdes problēmas turpināsies līdz 2022.
Secinājumi
Visbeidzot, pat ja Ransomware-as-a-Service (RaaS) ir radīts un viens no jaunākajiem draudiem, kas apdraud digitālos lietotājus, ir ļoti svarīgi veikt noteiktus preventīvus pasākumus, lai cīnītos pret šiem draudiem.
Papildus citiem fundamentāliem drošības pasākumiem varat paļauties arī uz vismodernākajiem pretļaunatūras rīkiem, lai vēl vairāk aizsargātu jūs pret šiem draudiem. Diemžēl šķiet, ka RaaS pagaidām ir šeit, lai paliktu.
Jums būs nepieciešams visaptverošs tehnoloģiju un kiberdrošības plāns, lai aizsargātu pret RaaS uzbrukumiem un samazinātu veiksmīga RaaS uzbrukuma iespējamību.
Atstāj atbildi