Программы-вымогатели вряд ли можно назвать новой угрозой в Интернете. Его корни уходят в прошлое на много лет. Эта угроза со временем становилась только опаснее и безжалостнее.
Слово «программа-вымогатель» получило широкое признание в результате многочисленных кибератак, которые в последние годы сделали многие предприятия непригодными для использования.
Все файлы на вашем компьютере были загружены и зашифрованы, а затем ваш экран становится черным и появляется сообщение на запинающемся английском языке.
YВы должны заплатить киберпреступникам в черной шляпе выкуп в биткойнах или других неотслеживаемых криптовалютах, чтобы получить ключ дешифрования или предотвратить публикацию ваших конфиденциальных данных в даркнете.
Но немногие могут знать о программе-вымогателе как услуге, хорошо организованной бизнес-модели преступного мира, которая может выполнять такие типы атак (или RaaS).
Вместо того, чтобы проводить атаки самостоятельно, создатели программ-вымогателей сдают свои дорогостоящие вирусы в аренду менее опытным киберпреступникам, которые готовы взять на себя риск, связанный с проведением операций с программами-вымогателями.
Как же все это работает? Кто возглавляет иерархию, а кто выполняет функции посредников? И, что еще более важно, как вы можете защитить свой бизнес и себя от этих разрушительных нападений?
Продолжайте читать, чтобы узнать больше о RaaS.
Что такое программы-вымогатели как услуга (RaaS)?
Программа-вымогатель как услуга (RaaS) — это бизнес-модель преступного предприятия, которая позволяет любому присоединиться и использовать инструменты для запуска атак программ-вымогателей.
Пользователи RaaS, как и те, кто использует другие модели «как услуга», такие как «программное обеспечение как услуга» (SaaS) или «платформа как услуга» (PaaS), арендуют, а не владеют услугами программ-вымогателей.
Это малокодовый вектор атаки «программное обеспечение как услуга», который позволяет преступникам покупать программы-вымогатели в даркнете и проводить атаки программ-вымогателей, не зная, как программировать.
Схемы фишинга электронной почты являются распространенным вектором атаки для уязвимостей RaaS.
Когда жертва нажимает на вредоносную ссылку в электронном письме злоумышленника, программа-вымогатель загружается и распространяется по зараженной машине, отключая брандмауэры и антивирусное программное обеспечение.
Программное обеспечение RaaS может искать способы повышения привилегий после того, как защита периметра жертвы была взломана, и в конечном итоге удерживать в заложниках всю организацию, шифруя файлы до такой степени, что они становятся недоступными.
Как только жертва будет проинформирована об атаке, программа предоставит ей инструкции о том, как заплатить выкуп и (в идеале) получить правильный криптографический ключ для расшифровки.
Хотя уязвимости RaaS и программ-вымогателей являются незаконными, преступников, осуществляющих такого рода атаки, может быть особенно сложно задержать, поскольку они используют браузеры Tor (также известные как луковые маршрутизаторы) для доступа к своим жертвам и требуют выплаты выкупа в биткойнах.
ФБР утверждает, что все больше и больше создателей вредоносных программ распространяют свои вредоносные программы LCNC (low code/no code) в обмен на долю доходов от вымогательства.
Как работает модель RaaS?
Разработчики и аффилированные лица сотрудничают для проведения эффективной атаки RaaS. Разработчики отвечают за написание специализированных вредоносных программ-вымогателей, которые впоследствии продаются аффилированным лицам.
Код программы-вымогателя и инструкции по запуску атаки предоставляются разработчиками. RaaS прост в использовании и не требует особых технических знаний.
Любой, у кого есть доступ к даркнету, может зайти на портал, присоединиться в качестве партнера и запустить атаку одним щелчком мыши. Партнеры выбирают тип вируса, который они хотят распространять, и производят оплату с помощью криптовалюты, обычно биткойнов, чтобы начать.
Разработчик и партнер делят прибыль, когда выкуп выплачивается и атака проходит успешно. Тип модели доходов определяет, как распределяются средства.
Давайте рассмотрим некоторые из этих незаконных бизнес-стратегий.
Партнерская программа RaaS
Из-за множества факторов, в том числе узнаваемости бренда группы вымогателей, показателей успешности кампаний, а также масштаба и разнообразия предлагаемых услуг, подпольные партнерские программы стали одной из самых известных форм RaaS.
Преступные организации часто ищут хакеров, которые могут самостоятельно проникнуть в бизнес-сети, чтобы сохранить код программы-вымогателя внутри банды. Затем они используют вирус и помощь, чтобы начать атаку.
Однако хакеру это может даже не понадобиться, учитывая недавний рост продаж доступа к корпоративной сети в даркнете, чтобы удовлетворить этим критериям.
Менее опытные хакеры с хорошей поддержкой проводят атаки с высоким риском в обмен на долю прибыли, а не ежемесячную или ежегодную плату за использование кода программы-вымогателя (но иногда партнерам, возможно, придется платить за игру).
В большинстве случаев банды вымогателей ищут хакеров, достаточно опытных, чтобы проникнуть в корпоративную сеть, и достаточно смелых, чтобы нанести удар.
В этой системе партнер часто получает от 60% до 70% выкупа, а остальные 30-40% отправляются оператору RaaS.
RaaS на основе подписки
В этой тактике мошенники регулярно платят членские взносы, чтобы иметь доступ к программам-вымогателям, технической поддержке и обновлениям вирусов. Многие модели веб-сервисов подписки, такие как Netflix, Spotify или Microsoft Office 365, сопоставимы с этим.
Как правило, преступники, занимающиеся программами-вымогателями, оставляют себе 100% дохода от выплат выкупа, если они платят за услугу авансом, что может стоить от 50 до сотен долларов в месяц, в зависимости от поставщика RaaS.
Эти членские взносы представляют собой скромные инвестиции по сравнению с обычным выкупом в размере около 220,000 XNUMX долларов. Конечно, партнерские программы также могут включать в свои планы элемент оплаты за игру, основанный на подписке.
Пожизненное разрешение
Производитель вредоносного ПО может решить предлагать пакеты за единовременный платеж и избежать прямого участия в кибератаках вместо того, чтобы регулярно зарабатывать деньги за счет подписки и распределения прибыли.
Киберпреступники в этом случае платят единовременно, чтобы получить пожизненный доступ к набору программ-вымогателей, который они могут использовать любым способом, который они сочтут целесообразным.
Некоторые киберпреступники более низкого уровня могут выбрать разовую покупку, даже если она будет значительно дороже (десятки тысяч долларов за сложные комплекты), поскольку им будет сложнее подключиться к оператору RaaS в случае задержания оператора.
Партнерство RaaS
Кибератаки с использованием программ-вымогателей требуют, чтобы каждый вовлеченный хакер обладал уникальным набором способностей.
В этом сценарии группа собиралась и вносила свой вклад в операцию. Для начала требуются разработчик кода программ-вымогателей, хакеры корпоративных сетей и англоговорящий переговорщик о выкупе.
В зависимости от своей роли и значимости в кампании каждый участник или партнер соглашается разделить прибыль.
Как обнаружить атаку RaaS?
Как правило, не существует защиты от атак программ-вымогателей, которая была бы эффективной на 100%. Тем не менее, фишинговые электронные письма остаются основным методом, используемым для атак программ-вымогателей.
Поэтому компания должна проводить обучение по вопросам фишинга, чтобы сотрудники как можно лучше понимали, как обнаруживать фишинговые электронные письма.
На техническом уровне предприятия могут иметь специализированную группу по кибербезопасности, которой поручено заниматься поиском угроз. Охота за угрозами — очень успешный метод обнаружения и предотвращения атак программ-вымогателей.
Теория создается в этом процессе с использованием информации о векторах нападения. Предчувствие и данные помогают в создании программы, которая могла бы быстро определить причину нападения и остановить его.
Чтобы следить за неожиданными запусками файлов, подозрительным поведением и т. д. в сети, используются инструменты поиска угроз. Для выявления попыток атак программ-вымогателей они используют индикаторы компрометации (IOC).
Кроме того, используется множество моделей ситуационного поиска угроз, каждая из которых адаптирована к отрасли целевой организации.
Примеры RaaS
Авторы программ-вымогателей только что осознали, насколько выгодно строить бизнес RaaS. Кроме того, несколько организаций злоумышленников создали операции RaaS для распространения программ-вымогателей практически в каждом бизнесе. Вот некоторые из организаций RaaS:
- DarkSide: Это один из самых печально известных провайдеров RaaS. Согласно сообщениям, эта банда стояла за атакой на Colonial Pipeline в мае 2021 года. Считается, что DarkSide началась в августе 2020 года и достигла пика активности в первые несколько месяцев 2021 года.
- Dharma : Dharma Ransomware первоначально появилась в 2016 году под названием CrySis. Хотя на протяжении многих лет существовало несколько вариантов Dharma Ransomware, Dharma впервые появилась в формате RaaS в 2020 году.
- Лабиринт: Как и многие другие провайдеры RaaS, Maze дебютировал в 2019 году. Помимо шифрования пользовательских данных, организация RaaS пригрозила обнародовать данные, чтобы унизить жертв. Maze RaaS официально закрыли в ноябре 2020 года, хотя причины этого все еще несколько туманны. Однако некоторые ученые считают, что одни и те же преступники сохранялись под разными именами, например, Эгрегор.
- DoppelPaymer: Это было связано с рядом событий, в том числе с одним в 2020 году против больницы в Германии, унесшим жизнь пациента.
- Ryuk: Хотя RaaS был более активен в 2019 году, считается, что он существовал по крайней мере в 2017 году. Многие охранные компании, в том числе CrowdStrike и FireEye, опровергли заявления некоторых исследователей о том, что эта организация находится в Северной Корее.
- ЛокБит: В качестве расширения файла организация использует для шифрования файлов-жертв «вирус .abcd», впервые появившийся в сентябре 2019 года. Способность LockBit автономно распространяться по целевой сети — одна из его особенностей. Для потенциальных злоумышленников это делает его желательным RaaS.
- Revil: Хотя существует несколько поставщиков RaaS, в 2021 году он был самым распространенным. Нападение на Kaseya, которое произошло в июле 2021 года и затронуло не менее 1,500 компаний, было связано с REvil RaaS. Также считается, что эта организация стоит за нападением на производителя мяса JBS USA в июне 2021 года, за которое жертва должна была заплатить выкуп в размере 11 миллионов долларов. Также было установлено, что он несет ответственность за атаку программ-вымогателей на поставщика услуг киберстрахования CNA Financial в марте 2021 года.
Как предотвратить атаки RaaS?
Хакеры RaaS чаще всего используют изощренные фишинговые электронные письма, которые мастерски созданы, чтобы казаться подлинными, для распространения вредоносного ПО. Для защиты от эксплойтов RaaS необходим надежный подход к управлению рисками, который поддерживает постоянное обучение конечных пользователей осведомленности о безопасности.
Первая и лучшая защита — это создание бизнес-культуры, которая информирует конечных пользователей о самых последних методах фишинга и опасностях, которые атаки программ-вымогателей представляют для их финансов и репутации. Инициативы в этом отношении включают:
- Обновления программного обеспечения: операционные системы и приложения часто используются программами-вымогателями. Чтобы остановить атаки программ-вымогателей, важно обновлять программное обеспечение при выпуске исправлений и обновлений.
- Позаботьтесь о резервном копировании и восстановлении ваших данных: Разработка стратегии резервного копирования и восстановления данных — это первый и, возможно, самый важный шаг. Данные становятся непригодными для пользователей после шифрования программами-вымогателями. Воздействие шифрования данных злоумышленником может быть уменьшено, если у компании есть текущие резервные копии, которые можно использовать в процедуре восстановления.
- Предотвращение фишинга: Фишинг через электронную почту — типичный метод атаки программ-вымогателей. Атаки RaaS можно предотвратить, если есть защита электронной почты от фишинга.
- Многофакторная аутентификация: некоторые злоумышленники-вымогатели используют вставку учетных данных, которая включает использование украденных паролей с одного сайта на другом. Поскольку для получения доступа по-прежнему требуется второй фактор, многофакторная проверка подлинности снижает влияние чрезмерного использования одного пароля.
- Безопасность конечных точек XDR: технологии защиты конечных точек и поиска угроз, такие как XDR, предлагают дополнительный важный уровень защиты от программ-вымогателей. Это предлагает расширенные возможности обнаружения и реагирования, которые помогают снизить опасность программ-вымогателей.
- DNS-ограничение: программы-вымогатели часто используют какой-либо сервер управления и контроля (C2) для взаимодействия с платформой оператора RaaS. DNS-запрос почти всегда используется для связи зараженной машины с C2-сервером. Организации могут распознавать, когда программа-вымогатель пытается взаимодействовать с RaaS C2, и предотвращать обмен данными с помощью решения безопасности DNS-фильтрации. Это может действовать как своего рода профилактика инфекции.
Будущее RaaS
Атаки RaaS станут более распространенными и популярными среди хакеров в будущем. Согласно недавнему отчету, более 60% всех кибератак за последние 18 месяцев были основаны на RaaS.
RaaS становится все более и более популярным из-за простоты его использования и отсутствия необходимости в технических знаниях. Кроме того, мы должны быть готовы к увеличению числа атак RaaS, нацеленных на жизненно важную инфраструктуру.
Это охватывает области здравоохранения, администрации, транспорта и энергетики. Хакеры рассматривают эти важнейшие отрасли и учреждения как более уязвимые, чем когда-либо, подвергая такие объекты, как больницы и электростанции, атакам RaaS как цепочками поставок проблемы продолжаются до 2022 года.
Заключение
В заключение, даже если программа-вымогатель как услуга (RaaS) является созданием и одной из самых последних опасностей для цифровых пользователей, крайне важно принять определенные превентивные меры для борьбы с этой угрозой.
В дополнение к другим основным мерам безопасности вы также можете положиться на передовые средства защиты от вредоносных программ, чтобы дополнительно защитить себя от этой угрозы. К сожалению, RaaS, похоже, пока останется.
Вам понадобится комплексный план технологий и кибербезопасности для защиты от атак RaaS, чтобы снизить вероятность успешной атаки RaaS.
Оставьте комментарий