Ransomware er neppe en helt ny trussel på internett. Røttene går mange år tilbake. Denne trusselen har bare blitt mer farlig og hensynsløs over tid.
Ordet «ransomware» har fått bred anerkjennelse som et resultat av bombardementet av nettangrep som har gjort mange virksomheter ubrukelige de siste årene.
Alle filene på PC-en din er lastet ned og kryptert, og så blir skjermen svart og en melding på snublende engelsk vises.
Ydu må betale løsepenger til svarte nettkriminelle i Bitcoin eller andre usporbare kryptovalutaer for å få en dekrypteringsnøkkel eller forhindre at sensitive data blir frigitt på det mørke nettet.
Men færre er kanskje klar over ransomware-as-a-Service, en velorganisert underverdensforretningsmodell som kan utføre denne typen angrep (eller RaaS).
I stedet for å utføre angrep selv, leier ransomware-skapere ut sine dyre virus til mindre erfarne cyberkriminelle som er klare til å pådra seg risikoen forbundet med å utføre løsepengevareoperasjoner.
Hvordan fungerer det hele? Hvem leder hierarkiet og hvem fungerer som mellommenn? Og kanskje mer avgjørende, hvordan kan du forsvare din bedrift og deg selv mot disse lammende overgrepene?
Fortsett å lese for å lære mer om RaaS.
Hva er Ransomware as a Service (RaaS)?
Ransomware-as-a-service (RaaS) er en kriminell bedrifts forretningsmodell som lar hvem som helst bli med og bruke verktøy for å lansere løsepengeangrep.
RaaS-brukere, som de som bruker andre as-a-service-modeller som software-as-a-service (SaaS) eller platform-as-a-service (PaaS), leier i stedet for å eie løsepengevaretjenester.
Det er en programvare-som-en-tjeneste-angrepsvektor med lav kode som gjør at kriminelle kan kjøpe løsepengeprogramvare på det mørke nettet og utføre løsepengeangrep uten å vite hvordan de skal kode.
E-post-phishing-opplegg er en vanlig angrepsvektor for RaaS-sårbarheter.
Når et offer klikker på en ondsinnet lenke i angriperens e-post, lastes løsepengevaren ned og spres over den berørte maskinen, og deaktiverer brannmurer og antivirusprogramvare.
RaaS-programvaren kan lete etter måter å heve privilegier når offerets perimeterforsvar har blitt brutt, og til slutt holde hele organisasjonen som gissel ved å kryptere filer til et punkt hvor de ikke er tilgjengelige.
Når offeret har blitt informert om angrepet, vil programmet gi dem instruksjoner om hvordan de skal betale løsepenger og (ideelt sett) få den riktige kryptografiske nøkkelen for dekryptering.
Selv om RaaS- og løsepengesårbarheter er ulovlige, kan kriminelle som utfører denne typen overgrep være spesielt utfordrende å pågripe fordi de bruker Tor-nettlesere (også kjent som løk-rutere) for å få tilgang til ofrene og kreve løsepenger for bitcoin.
FBI hevder at flere og flere skapere av skadelig programvare sprer sine skadelige LCNC-programmer (low code/no code) i bytte mot et kutt i utpressingsinntektene.
Hvordan fungerer RaaS-modellen?
Utviklere og tilknyttede selskaper samarbeider for å utføre et effektivt RaaS-angrep. Utviklere er ansvarlige for å skrive spesialisert ransomware malware, som etterpå selges til et tilknyttet selskap.
Ransomware-koden og instruksjonene for å starte angrepet er levert av utviklerne. RaaS er enkel å bruke og krever lite teknologisk kunnskap.
Alle som har tilgang til det mørke nettet kan gå inn på portalen, bli med som en affiliate og starte angrep med et enkelt klikk. Tilknyttede selskaper velger virustypen de vil distribuere og foretar en betaling ved å bruke en kryptovaluta, vanligvis Bitcoin, for å komme i gang.
Utvikleren og partneren deler inntektene når løsepengene er betalt og angrepet er vellykket. Type inntektsmodell avgjør hvordan midlene fordeles.
La oss undersøke noen av disse ulovlige forretningsstrategiene.
Tilknyttet RaaS
På grunn av en rekke faktorer, inkludert løsepenge-gruppens merkevarebevissthet, suksessratene til kampanjene, og kaliberet og variasjonen av tjenestene som tilbys, har underjordiske tilknyttede programmer blitt en av de mest kjente formene for RaaS.
Kriminelle organisasjoner ser ofte etter hackere som kan komme seg inn i forretningsnettverk på egenhånd for å opprettholde løsepengekoden sin i gjengen. De bruker deretter viruset og assistanse for å starte angrepet.
Imidlertid trenger en hacker kanskje ikke engang dette gitt den nylige økningen av bedriftsnettverkstilgang for salg på det mørke nettet for å tilfredsstille disse kriteriene.
Godt støttede, mindre erfarne hackere lanserer høyrisikoangrep i bytte mot en fortjenesteandel i stedet for å betale en månedlig eller årlig avgift for å bruke løsepengekoden (men noen ganger kan tilknyttede selskaper måtte betale for å spille).
Mesteparten av tiden søker løsepengevaregjenger hackere som er dyktige nok til å bryte seg inn i et bedriftsnettverk og modige nok til å gjennomføre streiken.
I dette systemet mottar partneren ofte mellom 60 % og 70 % av løsepengene, mens de resterende 30 % til 40 % sendes til RaaS-operatøren.
Abonnementsbasert RaaS
I denne taktikken betaler svindlere en medlemsavgift på regelmessig basis for å få tilgang til løsepengevare, teknisk støtte og virusoppdateringer. Mange nettbaserte abonnementstjenestemodeller, som Netflix, Spotify eller Microsoft Office 365, kan sammenlignes med dette.
Normalt beholder ransomware-lovbrytere 100 % av inntektene fra løsepenger for seg selv hvis de betaler for tjenesten på forhånd, som kan koste $50 til hundrevis av dollar hver måned, avhengig av RaaS-leverandøren.
Disse medlemsavgiftene representerer en beskjeden investering sammenlignet med den vanlige løsepengebetalingen på rundt $220,000 XNUMX. Selvfølgelig kan tilknyttede programmer også inkludere et betal-for-spill, abonnementsbasert element i planene deres.
Livstidstillatelse
En skadevareprodusent kan bestemme seg for å tilby pakker for en engangsbetaling og unngå å ta sjansen på å være direkte involvert i nettangrep i stedet for å tjene tilbakevendende penger via abonnementer og overskuddsdeling.
Nettkriminelle i dette tilfellet betaler en engangsavgift for å få livslang tilgang til et løsepengeprogramsett, som de kan bruke på hvilken som helst måte de finner hensiktsmessig.
Noen cyberkriminelle på lavere nivå kan velge et engangskjøp selv om det er betydelig dyrere (titusenvis av dollar for sofistikerte sett) siden det ville være vanskeligere for dem å koble seg til RaaS-operatøren dersom operatøren skulle bli pågrepet.
RaaS partnerskap
Cyberangrep som bruker løsepengevare krever at hver involverte hacker har et unikt sett med evner.
I dette scenariet vil en gruppe komme sammen og gi ulike bidrag til operasjonen. Det kreves en løsepengekodeutvikler, bedriftsnettverkshackere og en engelsktalende løsepengeforhandler for å komme i gang.
Avhengig av deres rolle og betydning i kampanjen, vil hver deltaker eller partner godta å dele inntektene.
Hvordan oppdage et RaaS-angrep?
Vanligvis er det ingen ransomware-angrepsbeskyttelse som er 100 % effektiv. Imidlertid er phishing-e-post fortsatt den primære metoden som brukes til å utføre løsepengevareovergrep.
Derfor må et selskap tilby opplæring i bevissthet om phishing for å sikre at ansatte har best mulig forståelse for hvordan de oppdager phishing-e-poster.
På et teknisk nivå kan bedrifter ha et spesialisert cybersikkerhetsteam som har i oppgave å drive trusseljakt. Trusseljakt er en svært vellykket metode for å oppdage og forhindre løsepengevareovergrep.
En teori lages i denne prosessen ved å bruke informasjonen om angrepsvektorer. Fornemmelsen og dataene hjelper til med å lage et program som raskt kan identifisere årsaken til overfallet og stoppe det.
For å holde et øye med uventede filkjøringer, mistenkelig oppførsel osv. på nettverket, brukes trusseljaktverktøy. For å identifisere forsøk på løsepengevareangrep bruker de klokken for Indicators of Compromise (IOCs).
I tillegg brukes mange situasjonsbetingede trusseljaktmodeller, som hver er skreddersydd for målorganisasjonens bransje.
Eksempler på RaaS
Forfattere av løsepengevare har nettopp innsett hvor lønnsomt det er å bygge en RaaS-virksomhet. I tillegg har det vært flere trusselaktørorganisasjoner som har etablert RaaS-operasjoner for å spre løsepengevare gjennom nesten hver virksomhet. Dette er noen av RaaS-organisasjonene:
- Mørk side: Det er en av de mest beryktede RaaS-leverandørene. Ifølge rapporter sto denne gjengen bak angrepet på Colonial Pipeline i mai 2021. DarkSide antas å ha startet i august 2020 og toppet seg i aktivitet i løpet av de første månedene av 2021.
- Dharma: Dharma Ransomware dukket opprinnelig opp i 2016 under navnet CrySis. Selv om det har vært flere Dharma Ransomware-variasjoner gjennom årene, dukket Dharma først opp i et RaaS-format i 2020.
- Maze: Som med mange andre RaaS-leverandører, debuterte Maze i 2019. I tillegg til å kryptere brukerdata, truet RaaS-organisasjonen med å frigi data offentlig i et forsøk på å ydmyke ofre. Maze RaaS ble formelt stengt i november 2020, selv om årsakene til dette fortsatt er noe uklare. Noen akademikere mener imidlertid at de samme lovbryterne har vedvart under forskjellige navn, som Egregor.
- DoppelPaymer: Det har vært knyttet til en rekke hendelser, inkludert en i 2020 mot et sykehus i Tyskland som tok livet av en pasient.
- Ryuk: Selv om RaaS var mer aktiv i 2019, antas det å ha eksistert i det minste i 2017. Mange sikkerhetsselskaper, inkludert CrowdStrike og FireEye, har avvist påstander fra visse forskere om at antrekket befinner seg i Nord-Korea.
- LockBit: Som filtypen bruker organisasjonen til å kryptere offerfiler, «.abcd-virus» dukket først opp i september 2019. Kapasiteten til LockBit til å spre seg selv over et målnettverk er en av funksjonene. For potensielle angripere gjør dette det til en ønskelig RaaS.
- EVIL: Selv om det er flere RaaS-leverandører, var det det vanligste i 2021. Kaseya-overfallet, som skjedde i juli 2021 og hadde innvirkning på minst 1,500 selskaper, var knyttet til REvil RaaS. Organisasjonen skal også ha stått bak angrepet på kjøttprodusenten JBS USA i juni 2021, som offeret måtte betale en løsesum på 11 millioner dollar for. Det ble også funnet å være ansvarlig for et løsepenge-angrep mot cyberforsikringsleverandøren CNA Financial i mars 2021.
Hvordan forhindre RaaS-angrep?
RaaS-hackere bruker oftest sofistikerte spear-phishing-e-poster som er profesjonelt laget for å virke autentiske for å distribuere skadelig programvare. En solid risikostyringstilnærming som støtter kontinuerlig sikkerhetsopplæring for sluttbrukere er nødvendig for å beskytte mot RaaS-utnyttelse.
Den første og beste beskyttelsen er å skape en forretningskultur som informerer sluttbrukerne om de nyeste phishing-teknikkene og farene som løsepengevareangrep representerer for deres økonomi og omdømme. Initiativer i denne forbindelse inkluderer:
- Programvareoppgraderinger: Operativsystemer og apper utnyttes ofte av løsepengeprogramvare. For å stoppe løsepenge-angrep er det viktig å oppdatere programvaren når patcher og oppdateringer utgis.
- Vær nøye med å sikkerhetskopiere og gjenopprette dataene dine: Å etablere en strategi for sikkerhetskopiering og gjenoppretting av data er det første og sannsynligvis viktigste trinnet. Data blir ubrukelig for brukere etter kryptering med løsepengeprogram. Effekten av datakryptering av en angriper kan reduseres hvis et selskap har nåværende sikkerhetskopier som kan brukes i en gjenopprettingsprosedyre.
- Forebygging av phishing: Phishing via e-post er en typisk angrepsmetode for løsepengeprogramvare. RaaS-angrep kan forhindres hvis det er en slags anti-phishing-e-postbeskyttelse på plass.
- Flerfaktorautentisering: Noen ransomware-angripere bruker legitimasjonsfylling, som innebærer å bruke stjålne passord fra ett nettsted på et annet. Fordi en annen faktor fortsatt kreves for å få tilgang, reduserer multifaktorautentisering virkningen av et enkelt passord som er overbrukt.
- Sikkerhet for XDR-endepunkter: Endpoint-sikkerhet og trusseljaktteknologier, som XDR, tilbyr et ekstra viktig lag med forsvar mot løsepengevare. Dette tilbyr forbedrede deteksjons- og responsfunksjoner som bidrar til å redusere faren for løsepengeprogramvare.
- DNS-begrensning: Ransomware bruker ofte en slags kommando- og kontrollserver (C2) for å kommunisere med plattformen til en RaaS-operatør. En DNS-spørring er nesten alltid involvert i kommunikasjon fra en infisert maskin til C2-serveren. Organisasjoner kan gjenkjenne når løsepengevare prøver å samhandle med RaaS C2 og forhindre kommunikasjon ved hjelp av en DNS-filtreringssikkerhetsløsning. Dette kan fungere som en type infeksjonsforebygging.
Fremtiden til RaaS
RaaS-angrep vil bli mer utbredt og godt likt blant hackere i fremtiden. Over 60 % av alle nettangrep de siste 18 månedene, ifølge en fersk rapport, var RaaS-basert.
RaaS blir mer og mer populært som følge av hvor enkelt det er å bruke og det faktum at ingen teknisk kunnskap er nødvendig. I tillegg bør vi forberede oss på en økning i RaaS-angrep som retter seg mot vital infrastruktur.
Dette dekker fagområdene helsevesen, administrasjon, transport og energi. Hackere ser på disse viktige næringene og institusjonene som mer utsatt enn noen gang, og setter enheter som sykehus og kraftverk i synet av RaaS-angrep som forsyningskjeden problemer fortsetter til 2022.
konklusjonen
Som konklusjon, selv om Ransomware-as-a-Service (RaaS) er en skapelse og en av de nyeste farene for å tære på digitale brukere, er det avgjørende å ta visse forebyggende tiltak for å bekjempe denne trusselen.
I tillegg til andre grunnleggende sikkerhetstiltak, kan du også stole på banebrytende antimalware-verktøy for å beskytte deg ytterligere mot denne trusselen. Dessverre ser RaaS ut til å være her for å bli foreløpig.
Du trenger en omfattende teknologi- og nettsikkerhetsplan for å beskytte mot RaaS-angrep for å redusere sannsynligheten for et vellykket RaaS-angrep.
Legg igjen en kommentar