Ransomware-ul nu este o amenințare nou-nouță pe internet. Rădăcinile sale datează de mulți ani. Această amenințare a devenit mai periculoasă și nemiloasă în timp.
Cuvântul „ransomware” a câștigat o recunoaștere pe scară largă ca urmare a bombardamentului atacurilor cibernetice care au făcut multe companii inutilizabile în ultimii ani.
Toate fișierele de pe computerul dvs. au fost descărcate și criptate, apoi ecranul dvs. devine negru și apare un mesaj în limba engleză poticnitoare.
Ytrebuie să plătiți o răscumpărare infractorilor cibernetici cu pălărie neagră în Bitcoin sau alte criptomonede care nu pot fi urmărite pentru a obține o cheie de decriptare sau pentru a preveni eliberarea datelor dvs. sensibile pe dark web.
Dar mai puțini ar putea fi conștienți de ransomware-as-a-Service, un model de afaceri interlop bine organizat, care poate efectua aceste tipuri de atacuri (sau RaaS).
În loc să efectueze atacuri ei înșiși, creatorii de ransomware își închiriază virușii scumpi unor criminali cibernetici mai puțin experimentați, care sunt gata să asume riscul asociat cu desfășurarea operațiunilor de ransomware.
Cum funcționează totuși? Cine conduce ierarhia și cine funcționează ca intermediari? Și poate și mai important, cum vă puteți apăra afacerea și pe dvs. împotriva acestor atacuri paralizante?
Continuați să citiți pentru a afla mai multe despre RaaS.
Ce este Ransomware ca serviciu (RaaS)?
Ransomware-as-a-service (RaaS) este un model de afaceri criminal care permite oricui să se alăture și să utilizeze instrumente pentru lansarea atacurilor ransomware.
Utilizatorii RaaS, cum ar fi cei care folosesc alte modele ca serviciu, cum ar fi software-as-a-service (SaaS) sau platform-as-a-service (PaaS), închiriază mai degrabă decât dețin servicii de ransomware.
Este un vector de atac cu cod redus, software ca serviciu, care le permite infractorilor să cumpere software ransomware de pe dark web și să efectueze atacuri ransomware fără să știe cum să codifice.
Schemele de phishing prin e-mail sunt un vector de atac comun pentru vulnerabilitățile RaaS.
Când o victimă face clic pe un link rău intenționat din e-mailul atacatorului, ransomware-ul se descarcă și se răspândește pe mașina afectată, dezactivând firewall-urile și software-ul antivirus.
Software-ul RaaS poate căuta modalități de a crește privilegiile odată ce perimetrul de apărare al victimei a fost încălcat și, în cele din urmă, poate ține ostatică întreaga organizație prin criptarea fișierelor până la punctul în care acestea nu sunt accesibile.
Odată ce victima a fost informată despre atac, programul le va oferi instrucțiuni despre cum să plătească răscumpărarea și (ideal) să obțină cheia criptografică potrivită pentru decriptare.
Deși vulnerabilitățile RaaS și ransomware sunt ilegale, infractorii care comit acest tip de atac pot fi deosebit de dificil de reținut, deoarece folosesc browsere Tor (cunoscute și sub numele de routere de ceapă) pentru a-și accesa victimele și pentru a cere plăți de răscumpărare bitcoin.
FBI susține că tot mai mulți creatori de malware își diseminează programele lor dăunătoare LCNC (cod scăzut/fără cod) în schimbul unei reduceri din veniturile din extorcare.
Cum funcționează modelul RaaS?
Dezvoltatorii și afiliații colaborează pentru a efectua un atac eficient RaaS. Dezvoltatorii sunt responsabili de scrierea de programe malware specializate pentru ransomware, care este apoi vândut unui afiliat.
Codul ransomware și instrucțiunile pentru lansarea atacului sunt furnizate de dezvoltatori. RaaS este simplu de utilizat și necesită puține cunoștințe tehnologice.
Oricine are acces la dark web poate intra pe portal, se poate alătura ca afiliat și poate lansa atacuri cu un singur clic. Afiliații aleg tipul de virus pe care doresc să-l distribuie și efectuează o plată folosind o criptomonedă, de obicei Bitcoin, pentru a începe.
Dezvoltatorul și afiliatul împart câștigurile atunci când banii de răscumpărare sunt plătiți și atacul are succes. Tipul de model de venituri determină modul în care sunt alocate fondurile.
Să examinăm câteva dintre aceste strategii de afaceri ilegale.
Afiliat RaaS
Datorită unei varietăți de factori, inclusiv gradul de conștientizare a mărcii grupului de ransomware, ratele de succes ale campaniilor și calibrul și varietatea serviciilor oferite, programele de afiliere underground au devenit una dintre cele mai cunoscute forme de RaaS.
Organizațiile criminale caută frecvent hackeri care pot intra pe cont propriu în rețelele de afaceri pentru a-și menține codul ransomware în cadrul bandei. Apoi folosesc virusul și asistența pentru a lansa atacul.
Cu toate acestea, un hacker s-ar putea să nu aibă nevoie de acest lucru, având în vedere creșterea recentă a accesului la rețea corporativă pentru vânzare pe dark web pentru a satisface aceste criterii.
Hackerii bine sprijiniți și mai puțin experimentați lansează atacuri cu risc ridicat în schimbul unei cote de profit, mai degrabă decât să plătească o taxă lunară sau anuală pentru a utiliza codul ransomware (dar ocazional afiliații pot fi nevoiți să plătească pentru a juca).
De cele mai multe ori, bandele de ransomware caută hackeri suficient de calificați pentru a pătrunde în rețeaua unei companii și suficient de curajoși pentru a duce greva.
În acest sistem, afiliatul primește adesea între 60% și 70% din răscumpărare, restul de 30% până la 40% fiind trimis operatorului RaaS.
RaaS bazat pe abonament
În această tactică, escrocii plătesc o taxă de membru în mod regulat pentru a avea acces la ransomware, asistență tehnică și actualizări de viruși. Multe modele de servicii de abonament bazate pe web, cum ar fi Netflix, Spotify sau Microsoft Office 365, sunt comparabile cu acesta.
În mod normal, infractorii de ransomware păstrează 100% din veniturile din plățile de răscumpărare pentru ei înșiși dacă plătesc serviciul în avans, care ar putea costa între 50 și sute de dolari în fiecare lună, în funcție de furnizorul RaaS.
Aceste taxe de membru reprezintă o investiție modestă în comparație cu plata obișnuită de răscumpărare de aproximativ 220,000 USD. Desigur, programele de afiliere pot include, de asemenea, un element pay-to-play, bazat pe abonament, în planurile lor.
Permis pe viață
Un producător de programe malware poate decide să ofere pachete pentru o plată unică și să evite riscul de a fi direct implicat în atacuri cibernetice în loc să câștige bani recurenți prin abonamente și partajarea profitului.
În acest caz, criminalii cibernetici plătesc o taxă unică pentru a obține acces pe tot parcursul vieții la un kit de ransomware, pe care îl pot folosi în orice mod îl consideră potrivit.
Unii criminali cibernetici de nivel inferior ar putea alege o achiziție unică, chiar dacă este semnificativ mai scumpă (zeci de mii de dolari pentru kituri sofisticate), deoarece le-ar fi mai dificil să se conecteze la operatorul RaaS în cazul în care operatorul ar fi reținut.
Parteneriate RaaS
Atacurile cibernetice care utilizează ransomware necesită ca fiecare hacker implicat să aibă un set unic de abilități.
În acest scenariu, un grup s-ar reuni și va oferi diverse contribuții la operațiune. Pentru a începe, sunt necesari un dezvoltator de coduri de ransomware, hackeri corporativi de rețea și un negociator de răscumpărare vorbitor de limba engleză.
În funcție de rolul și semnificația lor în campanie, fiecare participant sau partener ar fi de acord să împartă câștigurile.
Cum să detectăm un atac RaaS?
În mod obișnuit, nu există o protecție împotriva atacurilor ransomware care să fie 100% eficientă. Cu toate acestea, e-mailurile de phishing rămân metoda principală folosită pentru a efectua atacuri ransomware.
Prin urmare, o companie trebuie să ofere cursuri de conștientizare a phishingului pentru a se asigura că membrii personalului au cea mai bună înțelegere posibilă a modului de depistare a e-mailurilor de phishing.
La nivel tehnic, companiile ar putea avea o echipă specializată de securitate cibernetică însărcinată cu vânătoarea de amenințări. Threat hunting este o metodă de mare succes pentru detectarea și prevenirea atacurilor ransomware.
În acest proces este creată o teorie folosind informațiile despre vectorii de asalt. Bănuiala și datele ajută la crearea unui program care ar putea identifica rapid cauza atacului și o poate opri.
Pentru a fi cu ochii pe execuții neașteptate de fișiere, comportament suspect etc. în rețea, sunt utilizate instrumente de vânătoare de amenințări. Pentru a identifica tentativele de atacuri ransomware, aceștia folosesc ceasul pentru Indicatori de compromis (IOC).
În plus, sunt utilizate multe modele situaționale de urmărire a amenințărilor, fiecare dintre acestea fiind adaptat la industria organizației țintă.
Exemple de RaaS
Autorii de ransomware tocmai au ajuns să realizeze cât de profitabil este să construiești o afacere RaaS. În plus, au existat mai multe organizații de amenințări care au stabilit operațiuni RaaS pentru a propaga ransomware în aproape fiecare afacere. Acestea sunt câteva dintre organizațiile RaaS:
- Partea Întunecată: Este unul dintre cei mai infami furnizori RaaS. Potrivit rapoartelor, această bandă s-a aflat în spatele atacului asupra conductei coloniale din mai 2021. Se crede că DarkSide a început în august 2020 și a atins un vârf de activitate în primele luni ale anului 2021.
- Dharma: Dharma Ransomware a apărut inițial în 2016 sub numele CrySis. Deși au existat mai multe variații Dharma Ransomware de-a lungul anilor, Dharma a apărut pentru prima dată într-un format RaaS în 2020.
- Labirint: Ca și în cazul multor alți furnizori RaaS, Maze a debutat în 2019. Pe lângă criptarea datelor utilizatorilor, organizația RaaS a amenințat că va publica date în mod public într-un efort de a umili victimele. Maze RaaS s-a închis oficial în noiembrie 2020, deși motivele pentru aceasta sunt încă oarecum neclare. Unii academicieni, însă, cred că aceiași infractori au persistat sub diferite nume, precum Egregor.
- DoppelPaymer: A fost legat de o serie de evenimente, inclusiv unul din 2020 împotriva unui spital din Germania care a luat viața unui pacient.
- Ryuk: Deși RaaS a fost mai activ în 2019, se crede că a existat cel puțin în 2017. Multe companii de securitate, inclusiv CrowdStrike și FireEye, au negat afirmațiile făcute de anumiți cercetători că ținuta este situată în Coreea de Nord.
- LockBit: Ca extensie de fișier, organizația o folosește pentru a cripta fișierele victimelor, „virusul .abcd”, a apărut pentru prima dată în septembrie 2019. Capacitatea LockBit de a se răspândi în mod autonom pe o rețea țintă este una dintre caracteristicile sale. Pentru potențialii atacatori, acest lucru îl face un RaaS dezirabil.
- Revil: Deși există mai mulți furnizori RaaS, a fost cel mai frecvent în 2021. Atacul Kaseya, care a avut loc în iulie 2021 și a avut un impact asupra a cel puțin 1,500 de companii, a fost legat de REvil RaaS. De asemenea, se crede că organizația a fost în spatele atacului din iunie 2021 asupra producătorului de carne JBS USA, pentru care victima a trebuit să plătească o răscumpărare de 11 milioane de dolari. De asemenea, sa constatat că este responsabil pentru un atac ransomware asupra furnizorului de asigurări cibernetice CNA Financial în martie 2021.
Cum să preveniți atacurile RaaS?
Hackerii RaaS folosesc cel mai frecvent e-mailuri sofisticate de tip spear-phishing care sunt create de experți pentru a părea autentice pentru a distribui malware. O abordare solidă de gestionare a riscurilor care sprijină formarea continuă de conștientizare a securității pentru utilizatorii finali este necesară pentru a proteja împotriva exploatărilor RaaS.
Prima și cea mai bună protecție este crearea unei culturi de afaceri care să informeze utilizatorii finali despre cele mai recente tehnici de phishing și despre pericolele pe care atacurile ransomware le reprezintă pentru finanțele și reputația lor. Inițiativele în acest sens includ:
- Actualizări software: Sistemele de operare și aplicațiile sunt exploatate frecvent de ransomware. Pentru a ajuta la oprirea atacurilor ransomware, este important să actualizați software-ul atunci când sunt lansate corecții și actualizări.
- Aveți grijă să faceți backup și să vă restaurați datele: Stabilirea unei strategii de backup și recuperare a datelor este primul și, probabil, cel mai important pas. Datele devin inutilizabile pentru utilizatori după criptarea de către ransomware. Impactul criptării datelor de către un atacator poate fi redus dacă o companie are copii de rezervă curente care pot fi utilizate într-o procedură de recuperare.
- Prevenirea phishing-ului: Phishingul prin e-mailuri este o metodă tipică de atac pentru ransomware. Atacurile RaaS pot fi prevenite dacă există un fel de protecție pentru e-mail anti-phishing.
- Autentificare cu mai mulți factori: Unii atacatori de ransomware folosesc umplutura de acreditări, care implică utilizarea parolelor furate de la un site pe altul. Deoarece un al doilea factor este încă necesar pentru a obține acces, autentificarea multifactorială reduce impactul unei singure parole care este suprautilizată.
- Securitate pentru punctele finale XDR: Tehnologiile de securitate endpoint și de vânătoare de amenințări, cum ar fi XDR, oferă un strat crucial suplimentar de apărare împotriva ransomware-ului. Aceasta oferă capabilități îmbunătățite de detectare și răspuns care ajută la reducerea pericolului ransomware.
- restricție DNS: Ransomware utilizează frecvent un fel de server de comandă și control (C2) pentru a interfața cu platforma unui operator RaaS. O interogare DNS este aproape întotdeauna implicată în comunicațiile de la o mașină infectată la serverul C2. Organizațiile pot recunoaște când ransomware-ul încearcă să interacționeze cu RaaS C2 și să prevină comunicațiile cu ajutorul unei soluții de securitate de filtrare DNS. Acest lucru poate acționa ca un tip de prevenire a infecțiilor.
Viitorul RaaS
În viitor, atacurile RaaS vor deveni mai răspândite și mai apreciate printre hackeri. Peste 60% din toate atacurile cibernetice din ultimele 18 luni, potrivit unui raport recent, au fost bazate pe RaaS.
RaaS devine din ce în ce mai popular ca urmare a cât de simplu este de utilizat și a faptului că nu sunt necesare cunoștințe tehnice. În plus, ar trebui să ne pregătim pentru o creștere a atacurilor RaaS care vizează infrastructura vitală.
Aceasta acoperă domeniile asistenței medicale, administrației, transporturilor și energiei. Hackerii consideră aceste industrii și instituții cruciale ca fiind mai expuse ca niciodată, punând entități precum spitalele și centralele electrice în vizorul atacurilor RaaS ca lanțului de aprovizionare problemele continuă până în 2022.
Concluzie
În concluzie, chiar dacă Ransomware-as-a-Service (RaaS) este o creație și unul dintre cele mai recente pericole pentru a ataca utilizatorii digitali, este crucial să se ia anumite măsuri preventive pentru a combate această amenințare.
Pe lângă alte măsuri de siguranță fundamentale, vă puteți baza și pe instrumente antimalware de ultimă oră pentru a vă proteja în continuare de această amenințare. Din păcate, RaaS pare să fie aici pentru a rămâne pentru moment.
Veți avea nevoie de un plan cuprinzător de tehnologie și securitate cibernetică pentru a vă proteja împotriva atacurilor RaaS pentru a reduce probabilitatea unui atac RaaS de succes.
Lasă un comentariu