Inhoudsopgave[Zich verstoppen][Laten zien]
Ransomware is nauwelijks een gloednieuwe dreiging op internet. De wortels gaan vele jaren terug. Deze dreiging is in de loop van de tijd alleen maar gevaarlijker en meedogenlozer geworden.
Het woord 'ransomware' heeft brede erkenning gekregen als gevolg van het bombardement van cyberaanvallen die de afgelopen jaren veel bedrijven onbruikbaar hebben gemaakt.
Alle bestanden op je pc zijn gedownload en versleuteld, en dan wordt je scherm zwart en verschijnt er een bericht in strompelend Engels.
YU moet losgeld betalen aan black hat-cybercriminelen in Bitcoin of andere niet-traceerbare cryptocurrencies om een decoderingssleutel te verkrijgen of om te voorkomen dat uw gevoelige gegevens worden vrijgegeven op het dark web.
Maar misschien zijn minder mensen op de hoogte van ransomware-as-a-Service, een goed georganiseerd bedrijfsmodel in de onderwereld dat dit soort aanvallen (of RaaS) kan uitvoeren.
In plaats van zelf aanvallen uit te voeren, verhuren ransomware-makers hun dure virussen aan minder ervaren cybercriminelen die bereid zijn het risico te lopen dat gepaard gaat met het uitvoeren van ransomware-operaties.
Hoe werkt het echter allemaal? Wie leidt de hiërarchie en wie fungeert als tussenpersoon? En misschien nog belangrijker: hoe kunt u uw bedrijf en uzelf verdedigen tegen deze verlammende aanvallen?
Lees verder voor meer informatie over RaaS.
Wat is Ransomware as a Service (RaaS)?
Ransomware-as-a-service (RaaS) is een crimineel bedrijfsmodel waarmee iedereen zich kan aansluiten en tools kan gebruiken om ransomware-aanvallen uit te voeren.
RaaS-gebruikers, zoals degenen die andere as-a-service-modellen gebruiken, zoals software-as-a-service (SaaS) of platform-as-a-service (PaaS), huren in plaats van eigen ransomware-services.
Het is een low-code, software-as-a-service-aanvalsvector waarmee criminelen ransomware-software op het dark web kunnen kopen en ransomware-aanvallen kunnen uitvoeren zonder te weten hoe ze moeten coderen.
Phishing-schema's via e-mail zijn een veelvoorkomende aanvalsvector voor RaaS-kwetsbaarheden.
Wanneer een slachtoffer op een kwaadaardige link in de e-mail van de aanvaller klikt, wordt de ransomware gedownload en verspreid over de getroffen machine, waardoor firewalls en antivirussoftware worden uitgeschakeld.
De RaaS-software kan zoeken naar manieren om privileges te verhogen zodra de perimeterverdediging van het slachtoffer is doorbroken, en uiteindelijk de hele organisatie gijzelen door bestanden te versleutelen tot het punt waarop ze onbereikbaar zijn.
Zodra het slachtoffer op de hoogte is gebracht van de aanval, zal het programma hem instructies geven over hoe het losgeld moet worden betaald en (idealiter) de juiste cryptografische sleutel voor decodering kan worden verkregen.
Hoewel RaaS- en ransomware-kwetsbaarheden onwettig zijn, kunnen criminelen die dit soort aanvallen uitvoeren bijzonder moeilijk te vatten zijn, omdat ze Tor-browsers (ook bekend als uienrouters) gebruiken om toegang te krijgen tot hun slachtoffers en bitcoin-losgeld te eisen.
De FBI beweert dat steeds meer makers van malware hun schadelijke LCNC-programma's (low code/no code) verspreiden in ruil voor een deel van de afpersingsopbrengsten.
Hoe werkt het RaaS-model?
Ontwikkelaars en Affiliates werken samen om een effectieve RaaS-aanval uit te voeren. Ontwikkelaars zijn verantwoordelijk voor het schrijven van gespecialiseerde ransomware-malware, die vervolgens wordt verkocht aan een gelieerde onderneming.
De ransomware-code en instructies voor het starten van de aanval worden geleverd door de ontwikkelaars. RaaS is eenvoudig in gebruik en vereist weinig technologische kennis.
Iedereen die toegang heeft tot het dark web kan het portaal betreden, lid worden als partner en aanvallen starten met een enkele klik. Affiliates kiezen het soort virus dat ze willen verspreiden en doen een betaling met behulp van een cryptocurrency, meestal Bitcoin, om aan de slag te gaan.
De ontwikkelaar en de affiliate verdelen de inkomsten wanneer het losgeld is betaald en de aanval succesvol is. Het type verdienmodel bepaalt hoe de middelen worden verdeeld.
Laten we eens kijken naar enkele van deze illegale bedrijfsstrategieën.
Aangesloten RaaS
Vanwege verschillende factoren, waaronder de naamsbekendheid van de ransomware-groep, de slagingspercentages van de campagnes en het kaliber en de verscheidenheid van de aangeboden diensten, zijn ondergrondse partnerprogramma's een van de meest bekende vormen van RaaS geworden.
Criminele organisaties zijn vaak op zoek naar hackers die op eigen kracht bedrijfsnetwerken kunnen binnendringen om hun ransomware-code binnen de bende te houden. Vervolgens gebruiken ze het virus en de hulp om de aanval te lanceren.
Een hacker heeft dit echter misschien niet eens nodig, gezien de recente opkomst van toegang tot bedrijfsnetwerken die te koop zijn op het dark web om aan deze criteria te voldoen.
Goed ondersteunde, minder ervaren hackers lanceren risicovolle aanvallen in ruil voor een winstdeling in plaats van een maandelijks of jaarlijks bedrag te betalen om de ransomware-code te gebruiken (maar soms moeten partners betalen om te spelen).
Het grootste deel van de tijd zoeken ransomware-bendes hackers die bekwaam genoeg zijn om in te breken in een bedrijfsnetwerk en dapper genoeg zijn om de aanval uit te voeren.
In dit systeem ontvangt de aangeslotene vaak tussen de 60% en 70% van het losgeld, terwijl de resterende 30% tot 40% naar de RaaS-operator wordt gestuurd.
Op abonnementen gebaseerde RaaS
Bij deze tactiek betalen oplichters regelmatig contributie om toegang te krijgen tot ransomware, technische ondersteuning en virusupdates. Veel webgebaseerde abonnementsservicemodellen, zoals Netflix, Spotify of Microsoft Office 365, zijn hiermee vergelijkbaar.
Normaal gesproken houden daders van ransomware 100% van de inkomsten uit losgeldbetalingen voor zichzelf als ze vooraf voor de service betalen, wat $ 50 tot honderden dollars per maand kan kosten, afhankelijk van de RaaS-leverancier.
Deze lidmaatschapskosten vertegenwoordigen een bescheiden investering in vergelijking met de gebruikelijke losgeldbetaling van ongeveer $ 220,000. Natuurlijk kunnen aangesloten programma's ook een op betalen om te spelen, op abonnementen gebaseerd element in hun plannen opnemen.
Levenslange vergunning
Een malwareproducent kan besluiten om pakketten aan te bieden tegen een eenmalige betaling en zo te voorkomen dat hij direct betrokken raakt bij cyberaanvallen in plaats van terugkerend geld te verdienen via abonnementen en winstdeling.
Cybercriminelen betalen in dit geval een eenmalige vergoeding om levenslang toegang te krijgen tot een ransomware-kit, die ze op elke gewenste manier kunnen gebruiken.
Sommige cybercriminelen op een lager niveau zouden kunnen kiezen voor een eenmalige aankoop, zelfs als deze aanzienlijk duurder is (tienduizenden dollars voor geavanceerde kits), omdat het voor hen moeilijker zou zijn om verbinding te maken met de RaaS-operator als de operator wordt aangehouden.
RaaS-partnerschappen
Bij cyberaanvallen met ransomware moet elke betrokken hacker over een unieke reeks vaardigheden beschikken.
In dit scenario zou een groep bij elkaar komen en verschillende bijdragen leveren aan de operatie. Er zijn een ontwikkelaar van ransomware-codes, hackers van het bedrijfsnetwerk en een Engelssprekende losgeldonderhandelaar nodig om aan de slag te gaan.
Afhankelijk van hun rol en betekenis in de campagne, stemt elke deelnemer of partner ermee in om de inkomsten te verdelen.
Hoe een RaaS-aanval detecteren?
Meestal is er geen aanvalsbescherming tegen ransomware die 100% effectief is. Phishing-e-mails blijven echter de belangrijkste methode om ransomware-aanvallen uit te voeren.
Daarom moet een bedrijf phishing-bewustzijnstraining geven om ervoor te zorgen dat medewerkers zo goed mogelijk begrijpen hoe ze phishing-e-mails kunnen herkennen.
Op technisch niveau kunnen bedrijven een gespecialiseerd cyberbeveiligingsteam hebben dat is belast met het opsporen van bedreigingen. Het opsporen van bedreigingen is een zeer succesvolle methode voor het detecteren en voorkomen van ransomware-aanvallen.
In dit proces wordt een theorie gecreëerd met behulp van de informatie over aanvalsvectoren. Het vermoeden en de gegevens helpen bij het maken van een programma dat snel de oorzaak van de aanval kan identificeren en stoppen.
Om een oogje in het zeil te houden voor onverwachte bestandsuitvoeringen, verdacht gedrag, enz. op het netwerk, worden tools voor het opsporen van bedreigingen gebruikt. Om pogingen tot ransomware-aanvallen te identificeren, maken ze gebruik van de watch for Indicators of Compromise (IOC's).
Bovendien worden veel modellen voor het opjagen van situationele bedreigingen gebruikt, die allemaal zijn toegesneden op de branche van de doelorganisatie.
Voorbeelden van RaaS
Auteurs van ransomware zijn zich net gaan realiseren hoe winstgevend het is om een RaaS-bedrijf op te bouwen. Daarnaast zijn er verschillende organisaties van bedreigingsactoren die RaaS-operaties hebben opgezet om ransomware door bijna elk bedrijf te verspreiden. Dit zijn een paar van de RaaS-organisaties:
- Duistere kant: Het is een van de meest beruchte RaaS-providers. Volgens rapporten zat deze bende achter de aanval op de Colonial Pipeline in mei 2021. DarkSide zou in augustus 2020 zijn begonnen en piekte in activiteit tijdens de eerste paar maanden van 2021.
- Dharma: Dharma Ransomware dook oorspronkelijk op in 2016 onder de naam CrySis. Hoewel er door de jaren heen verschillende Dharma Ransomware-variaties zijn geweest, verscheen Dharma voor het eerst in een RaaS-indeling in 2020.
- Doolhof: Net als bij veel andere RaaS-providers, debuteerde Maze in 2019. Naast het versleutelen van gebruikersgegevens, dreigde de RaaS-organisatie gegevens openbaar te maken in een poging om slachtoffers te vernederen. De Maze RaaS is in november 2020 formeel gesloten, hoewel de redenen hiervoor nog enigszins wazig zijn. Sommige academici zijn echter van mening dat dezelfde overtreders onder verschillende namen zijn blijven bestaan, zoals Egregor.
- dubbele betaler: Het is in verband gebracht met een aantal evenementen, waaronder een in 2020 tegen een ziekenhuis in Duitsland dat het leven van een patiënt heeft geëist.
- Ryuk: Hoewel de RaaS in 2019 actiever was, wordt aangenomen dat het in ieder geval in 2017 heeft bestaan. Veel beveiligingsbedrijven, waaronder CrowdStrike en FireEye, hebben beweringen van bepaalde onderzoekers ontkend dat de outfit zich in Noord-Korea bevindt.
- LockBit: Als de bestandsextensie die de organisatie gebruikt om slachtofferbestanden te versleutelen, dook het ".abcd-virus" voor het eerst op in september 2019. Het vermogen van LockBit om zich autonoom te verspreiden over een doelnetwerk is een van de kenmerken ervan. Voor potentiële aanvallers maakt dit het een wenselijke RaaS.
- revil: Hoewel er verschillende RaaS-providers zijn, was het de meest voorkomende in 2021. De Kaseya-aanval, die plaatsvond in juli 2021 en een impact had op minstens 1,500 bedrijven, was gekoppeld aan de REvil RaaS. De organisatie zou ook achter de aanslag op de vleesfabrikant JBS USA in juni 2021 hebben gezeten, waarvoor het slachtoffer 11 miljoen dollar losgeld moest betalen. Het bleek ook verantwoordelijk te zijn voor een ransomware-aanval op de cyberverzekeringsmaatschappij CNA Financial in maart 2021.
Hoe RaaS-aanvallen voorkomen?
RaaS-hackers gebruiken meestal geavanceerde spear-phishing-e-mails die vakkundig zijn gemaakt om authentiek te lijken om malware te verspreiden. Een solide benadering van risicobeheer die voortdurende beveiligingsbewustzijnstraining voor eindgebruikers ondersteunt, is noodzakelijk om bescherming te bieden tegen RaaS-exploits.
De eerste en beste bescherming is het creëren van een bedrijfscultuur die eindgebruikers informeert over de meest recente phishing-technieken en de gevaren die ransomware-aanvallen vormen voor hun financiën en reputatie. Initiatieven in dit verband zijn onder meer:
- Software-upgrades: Besturingssystemen en apps worden vaak uitgebuit door ransomware. Om ransomware-aanvallen te stoppen, is het belangrijk om de software bij te werken wanneer er patches en updates worden uitgebracht.
- Zorg ervoor dat u een back-up maakt van uw gegevens en deze herstelt: Het opzetten van een strategie voor gegevensback-up en -herstel is de eerste en waarschijnlijk belangrijkste stap. Gegevens worden onbruikbaar voor gebruikers na versleuteling door ransomware. De impact van gegevensversleuteling door een aanvaller kan worden verminderd als een bedrijf actuele back-ups heeft die kunnen worden gebruikt in een herstelprocedure.
- Voorkomen van phishing: Phishing via e-mails is een typische aanvalsmethode voor ransomware. RaaS-aanvallen kunnen worden voorkomen als er een soort anti-phishing-e-mailbeveiliging aanwezig is.
- Meervoudige authenticatie: Sommige ransomware-aanvallers maken gebruik van credential stuffing, waarbij gestolen wachtwoorden van de ene site op de andere worden gebruikt. Omdat er nog steeds een tweede factor nodig is om toegang te krijgen, vermindert multifactor-authenticatie de impact van een enkel wachtwoord dat te veel wordt gebruikt.
- Beveiliging voor XDR-eindpunten: Eindpuntbeveiliging en technologieën voor het opsporen van bedreigingen, zoals XDR, bieden een extra cruciale verdedigingslaag tegen ransomware. Dit biedt verbeterde detectie- en responsmogelijkheden die het gevaar van ransomware helpen verminderen.
- DNS-beperking: Ransomware gebruikt vaak een soort command and control (C2)-server om te communiceren met het platform van een RaaS-operator. Een DNS-query is bijna altijd betrokken bij communicatie van een geïnfecteerde machine naar de C2-server. Organisaties kunnen herkennen wanneer ransomware probeert te communiceren met de RaaS C2 en de communicatie voorkomen met behulp van een DNS-filterbeveiligingsoplossing. Dit kan fungeren als een soort infectiepreventie.
Toekomst van RaaS
RaaS-aanvallen zullen in de toekomst vaker voorkomen en populairder worden onder hackers. Volgens een recent rapport was meer dan 60% van alle cyberaanvallen in de afgelopen 18 maanden RaaS-gebaseerd.
RaaS wordt steeds populairder vanwege de eenvoud in gebruik en het feit dat er geen technische kennis voor nodig is. Bovendien moeten we ons voorbereiden op een toename van RaaS-aanvallen die gericht zijn op vitale infrastructuur.
Dit omvat de gebieden gezondheidszorg, administratie, transport en energie. Hackers beschouwen deze cruciale industrieën en instellingen als meer blootgesteld dan ooit, waardoor entiteiten zoals ziekenhuizen en energiecentrales in het vizier komen van RaaS-aanvallen als toeleveringsketen problemen duren tot 2022.
Conclusie
Tot slot, zelfs als Ransomware-as-a-Service (RaaS) een creatie is en een van de meest recente gevaren voor digitale gebruikers, is het cruciaal om bepaalde preventieve maatregelen te nemen om deze dreiging te bestrijden.
Naast andere fundamentele beveiligingsmaatregelen kunt u ook vertrouwen op geavanceerde antimalwaretools om u verder tegen deze dreiging te beschermen. Helaas lijkt RaaS voorlopig een blijvertje te zijn.
U hebt een uitgebreid technologie- en cyberbeveiligingsplan nodig om u te beschermen tegen RaaS-aanvallen om de kans op een succesvolle RaaS-aanval te verkleinen.
Laat een reactie achter