Откупниот софтвер едвај е сосема нова закана на интернет. Неговите корени дадат многу години наназад. Оваа закана со текот на времето станала поопасна и немилосрдна.
Зборот „откуп“ се здоби со широко распространето признание како резултат на бомбардирањето на сајбер нападите што направија многу бизниси неупотребливи во последниве години.
Сите датотеки на вашиот компјутер се преземени и шифрирани, а потоа вашиот екран поцрнува и се појавува порака на англиски јазик.
Yмора да платите откуп на сајбер-криминалците со црна шапка во биткоин или други криптовалути што не можат да се следат со цел да добиете клуч за дешифрирање или да спречите објавување на вашите чувствителни податоци на темната мрежа.
Но, помалку може да бидат свесни за ransomware-as-a-service, добро организиран бизнис модел на подземјето што може да ги изврши овие типови на напади (или RaaS).
Наместо самите да вршат напади, креаторите на откупни софтвери ги изнајмуваат своите скапи вируси на помалку искусни сајбер-криминалци кои се подготвени да се изложат на ризикот поврзан со спроведување на операции за откуп.
Сепак, како функционира сето тоа? Кој ја води хиерархијата и кој функционира како посредник? И можеби уште поважно, како можете да го одбраните вашиот бизнис и себеси од овие осакатувачки напади?
Продолжете со читање за да дознаете повеќе за RaaS.
Што е Ransomware како услуга (RaaS)?
Ransomware-as-a-service (RaaS) е деловен модел на криминално претпријатие што им овозможува на секого да се придружи и да користи алатки за започнување напади со откупни софтвери.
Корисниците на RaaS, како оние кои користат други модели како услуга, како што се софтвер-како-услуга (SaaS) или платформа-како-услуга (PaaS), изнајмуваат наместо да поседуваат услуги за откуп.
Тоа е вектор за напад со низок код, софтвер како услуга, кој им овозможува на криминалците да купуваат софтвер за откуп на темната мрежа и да вршат напади со откупни софтвери без да знаат како да кодираат.
Фишинг шемите за е-пошта се вообичаен вектор за напади за ранливостите на RaaS.
Кога жртвата ќе кликне на злонамерна врска во е-поштата на напаѓачот, откупниот софтвер се презема и се шири низ погодената машина, оневозможувајќи ги заштитните ѕидови и антивирусниот софтвер.
Софтверот RaaS може да бара начини како да ги подигне привилегиите откако ќе се прекрши периметарската одбрана на жртвата, и на крајот да ја држи во заложништво целата организација со шифрирање на датотеки до точка каде што тие се недостапни.
Откако жртвата ќе биде информирана за нападот, програмата ќе им даде упатства како да го платат откупот и (идеално) да го добијат вистинскиот криптографски клуч за дешифрирање.
Иако ранливостите на RaaS и ransomware се незаконски, криминалците кои вршат ваков напад може да биде особено предизвикувачки да се фатат бидејќи користат прелистувачи Tor (исто така познати како onion рутери) за да пристапат до нивните жртви и да бараат исплати за откуп со биткоин.
ФБИ тврди дека се повеќе креатори на малициозен софтвер ги шират своите штетни програми LCNC (низок код/без код) во замена за намалување на приходите од изнуда.
Како работи моделот RaaS?
Програмерите и партнерите соработуваат за да извршат ефективен напад на RaaS. Програмерите се задолжени да пишуваат специјализиран малициозен софтвер за откуп, кој потоа се продава на филијалата.
Кодот за откуп и инструкциите за започнување на нападот се обезбедени од програмерите. RaaS е едноставен за користење и бара малку технолошко знаење.
Секој што има пристап до темната мрежа може да влезе на порталот, да се придружи како подружница и да започне напади со еден клик. Филијалите избираат тип на вирус што сакаат да го дистрибуираат и вршат плаќање со помош на криптовалута, обично Биткоин, за да започнете.
Инвеститорот и филијалата ја делат заработката кога ќе се платат парите за откуп и нападот е успешен. Типот на моделот на приходи одредува како се распределуваат средствата.
Ајде да испитаме неколку од овие нелегални деловни стратегии.
Огранок RaaS
Поради различни фактори, вклучувајќи ја и свесноста за брендот на групата за откуп, стапките на успех на кампањите и калибарот и разновидноста на понудените услуги, подземните придружни програми станаа една од најпознатите форми на RaaS.
Криминалните организации често бараат хакери кои можат сами да влезат во деловните мрежи за да го задржат својот код за откупнина во бандата. Тие потоа го користат вирусот и помошта за да започнат напад.
Сепак, на хакерот можеби нема ни да му треба ова со оглед на неодамнешниот пораст на корпоративната мрежа пристап за продажба на темната мрежа за да ги задоволи овие критериуми.
Добро поддржани, помалку искусни хакери започнуваат напади со висок ризик во замена за удел во профитот наместо да плаќаат месечна или годишна наплата за користење на кодот за откуп (но повремено подружниците можеби ќе треба да платат за да играат).
Поголемиот дел од времето, бандите за откуп бараат хакери доволно вешти да упаднат во мрежата на компанијата и доволно храбри да го извршат штрајкот.
Во овој систем, партнерот често добива помеѓу 60% и 70% од откупот, а останатите 30% до 40% се испраќаат до операторот RaaS.
RaaS базиран на претплата
Во оваа тактика, измамниците редовно плаќаат членарина за да имаат пристап до ransomware, техничка поддршка и ажурирања за вируси. Многу модели на претплатни услуги базирани на веб, како Netflix, Spotify или Microsoft Office 365, се споредливи со ова.
Вообичаено, прекршителите на откупнината чуваат 100% од приходот од откупнина за себе ако однапред платат за услугата, што може да чини од 50 до стотици долари секој месец, во зависност од добавувачот на RaaS.
Овие членарини претставуваат скромна инвестиција во споредба со вообичаената исплата на откуп од околу 220,000 американски долари. Се разбира, придружните програми може да вградат и елемент за плаќање за играње, базиран на претплата во нивните планови.
Доживотна дозвола
Производителот на малициозен софтвер може да одлучи да понуди пакети за еднократна исплата и да избегне да ја искористи шансата да биде директно вклучен во сајбер напади наместо да заработува повторливи пари преку претплати и споделување профит.
Сајбер-криминалците во овој случај плаќаат еднократна такса за да добијат доживотен пристап до комплетот за откупни софтвери, што можат да го користат на кој било начин што го сметаат за соодветен.
Некои сајбер-криминалци од пониско ниво би можеле да изберат еднократно купување дури и ако е значително поскапо (десетици илјади долари за софистицирани комплети), бидејќи би им било потешко да се поврзат со операторот RaaS доколку операторот биде уапсен.
РааС партнерства
Сајбер нападите кои користат откупнина треба секој вклучен хакер да има уникатен сет на способности.
Во ова сценарио, група ќе се собере и ќе даде различни придонеси за операцијата. За да започнете, потребен е развивач на код за откуп, хакери на корпоративна мрежа и преговарач за откуп што зборува англиски.
Во зависност од нивната улога и значење во кампањата, секој учесник или партнер би се согласил да ја подели заработката.
Како да откриете напад на RaaS?
Вообичаено, не постои заштита од напад од откуп што е 100% ефикасна. Сепак, фишинг-мејловите остануваат примарен метод што се користи за извршување на напади со откупни софтвери.
Затоа, компанијата треба да обезбеди обука за подигање на свеста за фишинг за да се осигура дека членовите на персоналот имаат најдобро можно разбирање за тоа како да ги забележат е-поштата за фишинг.
На техничко ниво, бизнисите може да имаат специјализиран тим за сајбер-безбедност задолжен да врши лов на закани. Ловот на закани е многу успешен метод за откривање и спречување напади на откупни софтвери.
Во овој процес се создава теорија користејќи ги информациите за вектори на напад. Претпоставувањето и податоците помагаат во создавањето програма што може брзо да ја идентификува причината за нападот и да го запре.
За да се внимава на неочекувани егзекуции на датотеки, сомнително однесување итн. на мрежата, се користат алатки за лов на закани. За да идентификуваат обиди за напади со откупни софтвери, тие го користат часовникот за Индикатори на компромис (IOC).
Дополнително, се користат многу модели за лов на закани во ситуација, од кои секој е прилагоден на индустријата на целната организација.
Примери за RaaS
Авторите на ransomware штотуку сфатија колку е профитабилно да се изгради RaaS бизнис. Дополнително, имало неколку организации актери на закани кои основале операции на RaaS за да пропагираат откупен софтвер во речиси секој бизнис. Ова се неколку од организациите RaaS:
- Темна страна: Тој е еден од најозлогласените провајдери на RaaS. Според извештаите, оваа банда стоела зад нападот на колонијалниот гасовод во мај 2021 година. Се верува дека DarkSide започнала во август 2020 година и го достигнала врвот на активност во првите неколку месеци од 2021 година.
- Дарма: Dharma Ransomware првично се појави во 2016 година под името CrySis. Иако имаше неколку варијации на Dharma Ransomware низ годините, Dharma првпат се појави во формат RaaS во 2020 година.
- Лавиринт: Како и со многу други провајдери на RaaS, Maze дебитираше во 2019 година. Покрај шифрирањето на податоците на корисниците, организацијата RaaS се закани дека ќе ги објави податоците јавно во обид да ги понижи жртвите. Лавиринтот RaaS формално се затвори во ноември 2020 година, иако причините за тоа сè уште се малку магливи. Некои академици, сепак, веруваат дека истите престапници опстојувале под различни имиња, како Егрегор.
- ДопелПејмер: Поврзан е со голем број настани, вклучително и еден во 2020 година против болница во Германија која го одзеде животот на пациент.
- Ryuk: Иако RaaS беше поактивен во 2019 година, се верува дека постоел барем во 2017 година. Многу безбедносни компании, вклучително и CrowdStrike и FireEye, ги негираа тврдењата на одредени истражувачи дека опремата се наоѓа во Северна Кореја.
- LockBit: Како наставка на датотеката, организацијата користи за шифрирање на датотеките на жртвите, „.abcd virus“, првпат се појави во септември 2019 година. Капацитетот на LockBit автономно да се шири преку целната мрежа е една од неговите карактеристики. За потенцијалните напаѓачи, ова го прави пожелен RaaS.
- Преживее: Иако има неколку даватели на RaaS, тој беше најчестиот во 2021 година. Нападот на Kaseya, кој се случи во јули 2021 година и имаше влијание врз најмалку 1,500 компании, беше поврзан со REvil RaaS. Организацијата, исто така, се смета дека стои зад нападот во јуни 2021 година врз производителот на месо JBS USA, за кој жртвата мораше да плати откуп од 11 милиони долари. Исто така, беше откриено дека е одговорно за напад на откупнина врз давателот на сајбер осигурување CNA Financial во март 2021 година.
Како да спречите RaaS напади?
Хакерите на RaaS најчесто користат софистицирани е-пошта за фишинг со копје кои се стручно креирани за да изгледаат автентични за дистрибуција на малициозен софтвер. Солиден пристап за управување со ризик кој поддржува постојана обука за свесноста за безбедноста за крајните корисници е неопходен за заштита од експлоатирања на RaaS.
Првата и најдобрата заштита е да се создаде деловна култура која ги информира крајните корисници за најновите техники за фишинг и опасностите што нападите со откупни софтвери ги претставуваат за нивните финансии и репутација. Иницијативите во овој поглед вклучуваат:
- Надградби на софтвер: Оперативните системи и апликациите често се експлоатирани од откуп. За да помогнете во запирање на нападите со откупнина, важно е да го ажурирате софтверот кога се објавуваат закрпи и ажурирања.
- Внимавајте да направите резервна копија и да ги вратите вашите податоци: Воспоставувањето стратегија за резервна копија и обновување на податоците е првиот и веројатно најважниот чекор. Податоците стануваат неупотребливи за корисниците по шифрирањето со откуп. Влијанието на шифрирањето на податоците од напаѓачот може да се намали ако компанијата има тековни резервни копии што може да се користат во процедура за обновување.
- Спречување на фишинг: Фишинг преку е-пошта е типичен метод на напад за откупнина. Нападите на RaaS може да се спречат ако постои некаква заштита на е-пошта против фишинг.
- Повеќефакторска автентикација: Некои напаѓачи на откупни софтвер користат полнење акредитиви, што вклучува употреба на украдени лозинки од една локација на друга. Бидејќи се уште е потребен втор фактор за да се добие пристап, мултифакторската автентикација го намалува влијанието на една лозинка што е прекумерна употреба.
- Безбедност за XDR крајни точки: Технологиите за безбедност на крајната точка и лов на закани, како што е XDR, нудат дополнителен клучен слој на одбрана од откупниот софтвер. Ова нуди подобрени способности за откривање и одговор кои помагаат да се намали опасноста од откупни софтвери.
- Ограничување на DNS: Ransomware често користи некој вид на команда и контрола (C2) сервер за интерфејс со платформата на RaaS оператор. Барањето DNS е скоро секогаш вклучено во комуникацијата од заразена машина до серверот C2. Организациите можат да препознаат кога откупниот софтвер се обидува да комуницира со RaaS C2 и да ги спречи комуникациите со помош на безбедносно решение за филтрирање DNS. Ова може да дејствува како еден вид превенција од инфекција.
Иднината на RaaS
Нападите на RaaS ќе станат позастапени и попопуларни меѓу хакерите во иднина. Над 60% од сите сајбер напади во последните 18 месеци, според неодамнешниот извештај, биле базирани на RaaS.
RaaS станува сè попопуларен како резултат на тоа колку е едноставно да се користи и фактот што не е потребно техничко знаење. Дополнително, треба да се подготвиме за зголемување на нападите на RaaS кои се насочени кон виталната инфраструктура.
Ова ги опфаќа областите на здравството, администрацијата, транспортот и енергијата. Хакерите ги гледаат овие клучни индустрии и институции како поизложени од кога било, ставајќи ги ентитетите како болниците и електраните пред нападите на RaaS како синџирот на снабдување прашањата продолжуваат до 2022 година.
Заклучок
Како заклучок, дури и ако Ransomware-as-a-service (RaaS) е создавање и една од најновите опасности за плен на дигиталните корисници, од клучно значење е да се преземат одредени превентивни мерки за борба против оваа закана.
Покрај другите основни безбедносни мерки на претпазливост, можете да се потпрете и на најсовремените алатки против малициозен софтвер за дополнително да ве заштитат од оваа закана. За жал, RaaS се чини дека е тука за да остане засега.
Ќе ви треба сеопфатен план за технологија и сајбер-безбедност за заштита од напади на RaaS за да ја намалите веројатноста за успешен напад на RaaS.
Оставете Одговор