Ransomware dificilmente é uma nova ameaça na internet. Suas raízes remontam a muitos anos. Essa ameaça só se tornou mais perigosa e implacável ao longo do tempo.
A palavra “ransomware” ganhou amplo reconhecimento como resultado do bombardeio de ataques cibernéticos que inutilizaram muitas empresas nos últimos anos.
Todos os arquivos em seu PC foram baixados e criptografados e, em seguida, sua tela fica preta e uma mensagem em inglês trôpego aparece.
YVocê deve pagar um resgate aos cibercriminosos black hat em Bitcoin ou outras criptomoedas não rastreáveis para obter uma chave de descriptografia ou impedir que seus dados confidenciais sejam lançados na dark web.
Mas menos podem estar cientes do ransomware-as-a-Service, um modelo de negócios do submundo bem organizado que pode realizar esses tipos de ataques (ou RaaS).
Em vez de conduzir os próprios ataques, os criadores de ransomware alugam seus vírus caros para criminosos cibernéticos menos experientes que estão prontos para incorrer no risco associado à realização de operações de ransomware.
Mas como tudo isso funciona? Quem lidera a hierarquia e quem funciona como intermediário? E talvez mais importante, como você pode defender sua empresa e a si mesmo contra esses ataques incapacitantes?
Continue lendo para saber mais sobre RaaS.
O que é Ransomware como Serviço (RaaS)?
Ransomware-as-a-service (RaaS) é um modelo de negócios empresarial criminoso que permite que qualquer pessoa se junte e utilize ferramentas para lançar ataques de ransomware.
Os usuários de RaaS, como aqueles que usam outros modelos como serviço, como software como serviço (SaaS) ou plataforma como serviço (PaaS), alugam em vez de possuir serviços de ransomware.
É um vetor de ataque de software como serviço de baixo código que permite que criminosos comprem software de ransomware na dark web e realizem ataques de ransomware sem saber codificar.
Esquemas de phishing de e-mail são um vetor de ataque comum para vulnerabilidades de RaaS.
Quando uma vítima clica em um link malicioso no e-mail do invasor, o ransomware baixa e se espalha pela máquina afetada, desativando firewalls e software antivírus.
O software RaaS pode procurar maneiras de elevar os privilégios depois que as defesas do perímetro da vítima forem violadas e, eventualmente, manter toda a organização refém, criptografando os arquivos até o ponto em que eles fiquem inacessíveis.
Depois que a vítima for informada do ataque, o programa fornecerá instruções sobre como pagar o resgate e (idealmente) obter a chave criptográfica correta para descriptografia.
Embora as vulnerabilidades de RaaS e ransomware sejam ilegais, os criminosos que realizam esse tipo de ataque podem ser particularmente difíceis de serem apreendidos porque utilizam navegadores Tor (também conhecidos como roteadores onion) para acessar suas vítimas e exigir pagamentos de resgate em bitcoin.
O FBI afirma que cada vez mais criadores de malware estão divulgando seus programas prejudiciais de LCNC (low code/no code) em troca de uma parte dos lucros da extorsão.
Como funciona o modelo RaaS?
Desenvolvedores e Afiliados colaboram para realizar um ataque RaaS eficaz. Os desenvolvedores são responsáveis por escrever malware de ransomware especializado, que depois é vendido para uma afiliada.
O código do ransomware e as instruções para iniciar o ataque são fornecidos pelos desenvolvedores. O RaaS é simples de usar e requer pouco conhecimento tecnológico.
Qualquer pessoa que tenha acesso à dark web pode entrar no portal, ingressar como afiliado e lançar ataques com um único clique. Os afiliados escolhem o tipo de vírus que desejam distribuir e fazem um pagamento usando uma criptomoeda, geralmente Bitcoin, para começar.
O desenvolvedor e o afiliado dividem os ganhos quando o dinheiro do resgate é pago e o ataque é bem-sucedido. O tipo de modelo de receita determina como os fundos são alocados.
Vamos examinar algumas dessas estratégias de negócios ilegais.
RaaS afiliado
Devido a uma variedade de fatores, incluindo o reconhecimento da marca do grupo de ransomware, as taxas de sucesso das campanhas e o calibre e variedade dos serviços oferecidos, os programas de afiliados clandestinos tornaram-se uma das formas mais conhecidas de RaaS.
Organizações criminosas frequentemente procuram hackers que podem entrar em redes de negócios por conta própria para manter seu código de ransomware dentro da gangue. Eles então utilizam o vírus e assistência para lançar o ataque.
No entanto, um hacker pode nem precisar disso, devido ao recente aumento do acesso à rede corporativa para venda na dark web para atender a esses critérios.
Hackers menos experientes e bem apoiados lançam ataques de alto risco em troca de uma participação nos lucros, em vez de pagar uma taxa mensal ou anual para usar o código de ransomware (mas ocasionalmente os afiliados podem ter que pagar para jogar).
Na maioria das vezes, as gangues de ransomware procuram hackers qualificados o suficiente para invadir uma rede da empresa e corajosos o suficiente para realizar o ataque.
Nesse sistema, o afiliado geralmente recebe entre 60% e 70% do resgate, sendo os 30% a 40% restantes enviados para a operadora RaaS.
RaaS baseado em assinatura
Nessa tática, os golpistas pagam uma taxa de associação regularmente para ter acesso a ransomware, suporte técnico e atualizações de vírus. Muitos modelos de serviços de assinatura baseados na Web, como Netflix, Spotify ou Microsoft Office 365, são comparáveis a isso.
Normalmente, os infratores de ransomware mantêm 100% da receita dos pagamentos de resgate para si se pagarem pelo serviço antecipadamente, o que pode custar de US $ 50 a centenas de dólares por mês, dependendo do fornecedor de RaaS.
Essas taxas de associação representam um investimento modesto em comparação com o pagamento usual de resgate de cerca de US$ 220,000. Obviamente, os programas de afiliados também podem incorporar um elemento pago para jogar e baseado em assinatura em seus planos.
Permissão vitalícia
Um produtor de malware pode decidir oferecer pacotes para um pagamento único e evitar o risco de se envolver diretamente em ataques cibernéticos, em vez de ganhar dinheiro recorrente por meio de assinaturas e participação nos lucros.
Nesse caso, os cibercriminosos pagam uma taxa única para obter acesso vitalício a um kit de ransomware, que podem ser usados da maneira que acharem apropriada.
Alguns cibercriminosos de nível inferior podem escolher uma compra única, mesmo que seja significativamente mais cara (dezenas de milhares de dólares para kits sofisticados), pois seria mais difícil para eles se conectarem ao operador RaaS caso o operador fosse preso.
Parcerias RaaS
Os ataques cibernéticos usando ransomware precisam que cada hacker envolvido tenha um conjunto exclusivo de habilidades.
Nesse cenário, um grupo se reuniria e forneceria diversas contribuições para a operação. Um desenvolvedor de código de ransomware, hackers de rede corporativa e um negociador de resgate de língua inglesa são necessários para começar.
Dependendo de seu papel e importância na campanha, cada participante ou parceiro concordaria em dividir os ganhos.
Como detectar um ataque RaaS?
Normalmente, não há proteção contra ataques de ransomware que seja 100% eficaz. No entanto, os e-mails de phishing continuam sendo o principal método usado para realizar ataques de ransomware.
Portanto, uma empresa deve fornecer treinamento de conscientização de phishing para garantir que os membros da equipe tenham a melhor compreensão possível de como identificar e-mails de phishing.
Em um nível técnico, as empresas podem ter uma equipe especializada de segurança cibernética encarregada de caçar ameaças. A caça a ameaças é um método muito bem-sucedido para detectar e prevenir ataques de ransomware.
Uma teoria é criada nesse processo usando as informações dos vetores de assalto. O palpite e os dados ajudam na criação de um programa que pode identificar rapidamente a causa do ataque e interrompê-lo.
Para ficar de olho em execuções inesperadas de arquivos, comportamento suspeito, etc. na rede, são usadas ferramentas de caça a ameaças. Para identificar tentativas de ataques de ransomware, eles usam o watch for Indicators of Compromise (IOCs).
Além disso, muitos modelos de caça a ameaças situacionais são usados, cada um deles adaptado ao setor da organização-alvo.
Exemplos de RaaS
Os autores de ransomware acabaram de perceber o quão lucrativo é construir um negócio RaaS. Além disso, várias organizações de atores de ameaças estabeleceram operações de RaaS para propagar ransomware em quase todos os negócios. Estas são algumas das organizações RaaS:
- Lado escuro: é um dos provedores de RaaS mais infames. Segundo relatos, essa gangue estava por trás do ataque ao Colonial Pipeline em maio de 2021. Acredita-se que o DarkSide tenha começado em agosto de 2020 e atingido o pico de atividade durante os primeiros meses de 2021.
- Dharma: Dharma Ransomware surgiu originalmente em 2016 sob o nome CrySis. Embora tenha havido várias variações do Dharma Ransomware ao longo dos anos, o Dharma apareceu pela primeira vez em um formato RaaS em 2020.
- Maze: assim como muitos outros provedores de RaaS, o Maze estreou em 2019. Além de criptografar os dados do usuário, a organização de RaaS ameaçou divulgar os dados publicamente em um esforço para humilhar as vítimas. O Maze RaaS foi encerrado formalmente em novembro de 2020, embora os motivos para isso ainda sejam um pouco nebulosos. Alguns acadêmicos, no entanto, acreditam que os mesmos infratores persistiram sob vários nomes, como Egregor.
- DoppelPaymer: Ele foi conectado a vários eventos, incluindo um em 2020 contra um hospital na Alemanha que tirou a vida de um paciente.
- Ryuk: embora o RaaS tenha sido mais ativo em 2019, acredita-se que tenha existido pelo menos em 2017. Muitas empresas de segurança, incluindo CrowdStrike e FireEye, negaram as alegações feitas por certos pesquisadores de que o equipamento está localizado na Coréia do Norte.
- Bloqueio: Como extensão de arquivo que a organização emprega para criptografar os arquivos das vítimas, o “vírus .abcd”, surgiu pela primeira vez em setembro de 2019. A capacidade do LockBit de se espalhar de forma autônoma por uma rede de destino é um de seus recursos. Para possíveis invasores, isso o torna um RaaS desejável.
- REVIL: embora existam vários provedores de RaaS, foi o mais comum em 2021. O assalto da Kaseya, que ocorreu em julho de 2021 e impactou pelo menos 1,500 empresas, estava vinculado ao REvil RaaS. Acredita-se também que a organização esteja por trás do ataque de junho de 2021 ao fabricante de carne JBS USA, pelo qual a vítima teve que pagar um resgate de US$ 11 milhões. Também foi considerado responsável por um ataque de ransomware ao provedor de seguros cibernéticos CNA Financial em março de 2021.
Como prevenir ataques de RaaS?
Os hackers de RaaS usam com mais frequência e-mails sofisticados de spear phishing que são habilmente criados para parecer autênticos para distribuir malware. Uma abordagem sólida de gerenciamento de risco que suporte o treinamento contínuo de conscientização de segurança para usuários finais é necessária para proteger contra explorações de RaaS.
A primeira e melhor proteção é criar uma cultura de negócios que informe os usuários finais sobre as técnicas de phishing mais recentes e os perigos que os ataques de ransomware representam para suas finanças e reputações. As iniciativas nesse sentido incluem:
- Atualizações de software: Sistemas operacionais e aplicativos são frequentemente explorados por ransomware. Para ajudar a impedir ataques de ransomware, é importante atualizar o software quando os patches e as atualizações forem lançados.
- Tome cuidado para fazer backup e restaurar seus dados: Estabelecer uma estratégia de backup e recuperação de dados é o primeiro e, provavelmente, o mais importante passo. Os dados se tornam inutilizáveis para os usuários após a criptografia por ransomware. O impacto da criptografia de dados por um invasor pode ser reduzido se uma empresa tiver backups atuais que possam ser utilizados em um procedimento de recuperação.
- Prevenção de phishing: Phishing através de e-mails é um método típico de ataque para ransomware. Os ataques de RaaS podem ser evitados se houver algum tipo de proteção de e-mail anti-phishing.
- Autenticação de vários fatores: alguns invasores de ransomware utilizam preenchimento de credenciais, que envolve o uso de senhas roubadas de um site para outro. Como um segundo fator ainda é necessário para obter acesso, a autenticação multifator diminui o impacto de uma única senha que é usada em excesso.
- Segurança para endpoints XDR: Tecnologias de segurança de endpoint e caça a ameaças, como XDR, oferecem uma camada crucial adicional de defesa contra ransomware. Isso oferece recursos aprimorados de detecção e resposta que ajudam a reduzir o perigo de ransomware.
- Restrição de DNS: Ransomware frequentemente usa algum tipo de servidor de comando e controle (C2) para fazer interface com a plataforma de um operador RaaS. Uma consulta DNS quase sempre está envolvida nas comunicações de uma máquina infectada para o servidor C2. As organizações podem reconhecer quando o ransomware está tentando interagir com o RaaS C2 e impedir as comunicações com a ajuda de uma solução de segurança de filtragem de DNS. Isso pode atuar como um tipo de prevenção de infecção.
Futuro do RaaS
Os ataques de RaaS se tornarão mais prevalentes e apreciados entre os hackers no futuro. Mais de 60% de todos os ataques cibernéticos nos últimos 18 meses, de acordo com um relatório recente, foram baseados em RaaS.
O RaaS está se tornando cada vez mais popular devido à simplicidade de uso e ao fato de que nenhum conhecimento técnico é necessário. Além disso, devemos nos preparar para um aumento nos ataques de RaaS que visam infraestrutura vital.
Isso abrange as áreas de saúde, administração, transporte e energia. Os hackers veem essas indústrias e instituições cruciais como mais expostas do que nunca, colocando entidades como hospitais e usinas de energia na mira de ataques RaaS como cadeia de suprimentos questões continuam até 2022.
Conclusão
Em conclusão, mesmo que o Ransomware-as-a-Service (RaaS) seja uma criação e um dos perigos mais recentes para atacar usuários digitais, é crucial tomar certas medidas preventivas para combater essa ameaça.
Além de outras precauções de segurança fundamentais, você também pode contar com ferramentas antimalware de ponta para protegê-lo ainda mais dessa ameaça. Lamentavelmente, o RaaS parece estar aqui para ficar por enquanto.
Você precisará de um plano abrangente de tecnologia e segurança cibernética para se proteger contra ataques RaaS e reduzir a probabilidade de um ataque RaaS bem-sucedido.
Deixe um comentário