Izsiljevalska programska oprema je skorajda nova grožnja na internetu. Njegove korenine segajo mnogo let nazaj. Ta grožnja je sčasoma postala le še bolj nevarna in neusmiljena.
Beseda »izsiljevalska programska oprema« je postala splošno prepoznavna kot posledica bombardiranja kibernetskih napadov, zaradi katerih so številna podjetja v zadnjih letih postala neuporabna.
Vse datoteke v vašem računalniku so bile prenesene in šifrirane, nato pa zaslon postane črn in prikaže se sporočilo v angleščini, ki se spotika.
Yčrnim kiberkriminalcem morate plačati odkupnino v bitcoinih ali drugih kriptovalutah, ki jih ni mogoče izslediti, da pridobite ključ za dešifriranje ali preprečite, da bi vaši občutljivi podatki prišli v temni splet.
Toda manj jih morda pozna izsiljevalska programska oprema kot storitev, dobro organiziran podzemni poslovni model, ki lahko izvaja tovrstne napade (ali RaaS).
Namesto da bi sami izvajali napade, ustvarjalci izsiljevalske programske opreme oddajajo svoje drage viruse manj izkušenim kibernetskim kriminalcem, ki so pripravljeni prevzeti tveganje, povezano z izvajanjem operacij izsiljevalske programske opreme.
Kako pa vse skupaj deluje? Kdo vodi hierarhijo in kdo deluje kot posrednik? In kar je morda še bolj ključno, kako lahko zaščitite svoje podjetje in sebe pred temi hromečimi napadi?
Nadaljujte z branjem, če želite izvedeti več o RaaS.
Kaj je Ransomware kot storitev (RaaS)?
Ransomware-as-a-service (RaaS) je poslovni model kriminalnega podjetja, ki omogoča vsakomur, da se pridruži in uporabi orodja za zagon napadov z izsiljevalsko programsko opremo.
Uporabniki RaaS, tako kot tisti, ki uporabljajo druge modele kot storitev, kot je programska oprema kot storitev (SaaS) ali platforma kot storitev (PaaS), najemajo storitve izsiljevalske programske opreme namesto lastnika.
Gre za napadalni vektor programske opreme kot storitve z nizko kodo, ki kriminalcem omogoča nakup izsiljevalske programske opreme na temnem spletu in izvajanje napadov z izsiljevalsko programsko opremo, ne da bi vedeli, kako kodirati.
Sheme lažnega predstavljanja po e-pošti so pogost vektor napadov za ranljivosti RaaS.
Ko žrtev klikne na zlonamerno povezavo v napadalčevi e-pošti, se izsiljevalska programska oprema prenese in razširi po prizadetem računalniku ter onemogoči požarne zidove in protivirusno programsko opremo.
Programska oprema RaaS lahko išče načine za povišanje privilegijev, ko je obramba oboda žrtve prebita, in sčasoma celotno organizacijo zadrži kot talca s šifriranjem datotek do točke, ko so nedosegljive.
Ko je žrtev obveščena o napadu, ji bo program dal navodila, kako plačati odkupnino in (idealno) pridobiti pravi kriptografski ključ za dešifriranje.
Čeprav so ranljivosti RaaS in izsiljevalske programske opreme nezakonite, je kriminalce, ki izvajajo tovrstne napade, še posebej težko prijeti, ker uporabljajo brskalnike Tor (znane tudi kot čebulni usmerjevalniki) za dostop do svojih žrtev in zahtevajo plačila odkupnine v bitcoinih.
FBI trdi, da vse več ustvarjalcev zlonamerne programske opreme razširja svoje škodljive programe LCNC (nizka koda/brez kode) v zameno za zmanjšanje prihodkov od izsiljevanja.
Kako deluje model RaaS?
Razvijalci in podružnice sodelujejo pri izvedbi učinkovitega napada RaaS. Razvijalci so zadolženi za pisanje specializirane zlonamerne programske opreme za izsiljevalce, ki se nato proda pridruženemu podjetju.
Kodo izsiljevalske programske opreme in navodila za začetek napada zagotavljajo razvijalci. RaaS je preprost za uporabo in zahteva malo tehnološkega znanja.
Vsak, ki ima dostop do temnega spleta, lahko vstopi na portal, se pridruži kot pridruženi član in začne napade z enim klikom. Podružnice izberejo vrsto virusa, ki ga želijo distribuirati, in za začetek izvedejo plačilo s kriptovaluto, običajno Bitcoin.
Razvijalec in podružnica si razdelita zaslužek, ko je odkupnina plačana in je napad uspešen. Vrsta prihodkovnega modela določa, kako se sredstva razporedijo.
Oglejmo si nekaj teh nezakonitih poslovnih strategij.
Podružnica RaaS
Zaradi različnih dejavnikov, vključno z prepoznavnostjo blagovne znamke skupine izsiljevalskih programov, stopnjami uspešnosti kampanj ter kalibrom in raznolikostjo ponujenih storitev, so podzemni pridruženi programi postali ena najbolj znanih oblik RaaS.
Kriminalne organizacije pogosto iščejo hekerje, ki lahko sami pridejo v poslovna omrežja, da bi ohranili svojo kodo izsiljevalske programske opreme znotraj tolpe. Nato uporabijo virus in pomoč za začetek napada.
Vendar pa heker tega morda niti ne bo potreboval glede na nedavni porast dostopa do omrežja podjetja za prodajo na temnem spletu, da bi izpolnil ta merila.
Dobro podprti, manj izkušeni hekerji izvajajo visoko tvegane napade v zameno za delež dobička, namesto da bi plačali mesečno ali letno pristojbino za uporabo kode izsiljevalske programske opreme (vendar bodo občasno podružnice morda morale plačati za igranje).
Tolpe izsiljevalske programske opreme večinoma iščejo hekerje, ki so dovolj spretni, da vdrejo v omrežje podjetja, in dovolj pogumni, da izvedejo napad.
V tem sistemu podružnica pogosto prejme med 60 % in 70 % odkupnine, preostalih 30 % do 40 % pa se pošlje operaterju RaaS.
RaaS, ki temelji na naročnini
Pri tej taktiki prevaranti redno plačujejo članarino, da imajo dostop do izsiljevalske programske opreme, tehnične podpore in posodobitev virusov. Mnogi modeli spletnih naročniških storitev, kot so Netflix, Spotify ali Microsoft Office 365, so primerljivi s tem.
Običajno storilci izsiljevalske programske opreme zase zadržijo 100 % prihodkov od plačil odkupnine, če storitev plačajo vnaprej, kar lahko vsak mesec stane od 50 do več sto dolarjev, odvisno od dobavitelja RaaS.
Te članarine predstavljajo skromno naložbo v primerjavi z običajnim plačilom odkupnine v višini približno 220,000 USD. Seveda lahko pridruženi programi v svoje načrte vključijo tudi element plačljivega igranja, ki temelji na naročnini.
Doživljenjsko dovoljenje
Proizvajalec zlonamerne programske opreme se lahko odloči ponuditi pakete za enkratno plačilo in se izogne možnosti, da bi bil neposredno vpleten v kibernetske napade, namesto da bi služil ponavljajoči se denar prek naročnin in delitve dobička.
Kibernetski kriminalci v tem primeru plačajo enkratno pristojbino, da dobijo vseživljenjski dostop do kompleta izsiljevalske programske opreme, ki ga lahko uporabljajo na kakršen koli način, ki se jim zdi primeren.
Nekateri kibernetski kriminalci na nižji ravni bi se lahko odločili za enkraten nakup, tudi če bi bil znatno dražji (več deset tisoč dolarjev za sofisticirane komplete), saj bi se težje povezali z operaterjem RaaS, če bi operaterja prijeli.
RaaS partnerstva
Kibernetski napadi z uporabo izsiljevalske programske opreme zahtevajo, da ima vsak vpleteni heker edinstven niz sposobnosti.
V tem scenariju bi se skupina zbrala in zagotovila različne prispevke k operaciji. Za začetek so potrebni razvijalec kode izsiljevalske programske opreme, hekerji v korporativnem omrežju in angleško govoreči pogajalec za odkupnino.
Glede na svojo vlogo in pomen v kampanji bi se vsak udeleženec oziroma partner dogovoril za razdelitev zaslužka.
Kako odkriti napad RaaS?
Običajno ni zaščite pred napadi izsiljevalske programske opreme, ki bi bila 100 % učinkovita. Vendar e-poštna sporočila z lažnim predstavljanjem ostajajo primarna metoda, ki se uporablja za izvajanje napadov z izsiljevalsko programsko opremo.
Zato mora podjetje zagotoviti usposabljanje za ozaveščanje o lažnem predstavljanju, da zagotovi, da člani osebja najbolje razumejo, kako prepoznati lažna e-poštna sporočila.
Na tehnični ravni imajo lahko podjetja specializirano ekipo za kibernetsko varnost, ki je zadolžena za iskanje groženj. Lov na grožnje je zelo uspešna metoda za odkrivanje in preprečevanje napadov izsiljevalske programske opreme.
V tem procesu se ustvari teorija z uporabo informacij o vektorjih napada. Slutnja in podatki pomagajo pri ustvarjanju programa, ki lahko hitro ugotovi vzrok napada in ga ustavi.
Da bi bili pozorni na nepričakovane izvedbe datotek, sumljivo vedenje itd. v omrežju, se uporabljajo orodja za lov na grožnje. Za prepoznavanje poskusov napadov z izsiljevalsko programsko opremo uporabljajo uro za indikatorje ogroženosti (IOC).
Poleg tega se uporabljajo številni modeli lova na situacijske grožnje, od katerih je vsak prilagojen panogi ciljne organizacije.
Primeri RaaS
Avtorji izsiljevalske programske opreme so pravkar spoznali, kako donosno je zgraditi podjetje RaaS. Poleg tega je bilo več organizacij akterjev groženj, ki so vzpostavile operacije RaaS za širjenje izsiljevalske programske opreme v skoraj vseh podjetjih. To je nekaj organizacij RaaS:
- Temna stran: Je eden najbolj razvpitih ponudnikov RaaS. Po poročilih naj bi ta tolpa stala za napadom na Colonial Pipeline maja 2021. Verjame se, da je DarkSide začel avgusta 2020 in dosegel vrhunec dejavnosti v prvih nekaj mesecih leta 2021.
- Dharma: Dharma Ransomware se je prvotno pojavila leta 2016 pod imenom CrySis. Čeprav je bilo skozi leta več različic Dharma Ransomware, se je Dharma prvič pojavila v formatu RaaS leta 2020.
- Maze: Kot pri mnogih drugih ponudnikih RaaS je tudi Maze debitiral leta 2019. Poleg šifriranja uporabniških podatkov je organizacija RaaS grozila z javno objavo podatkov, da bi ponižala žrtve. Maze RaaS se je uradno zaprl novembra 2020, čeprav so razlogi za to še vedno nekoliko nejasni. Nekateri akademiki pa verjamejo, da so isti prestopniki vztrajali pod različnimi imeni, kot je Egregor.
- DoppelPaymer: Povezan je s številnimi dogodki, vključno z enim leta 2020 proti bolnišnici v Nemčiji, ki je terjal življenje bolnika.
- Ryuk: Čeprav je bil RaaS bolj aktiven leta 2019, se domneva, da je obstajal vsaj leta 2017. Številna varnostna podjetja, vključno s CrowdStrike in FireEye, so zanikala trditve nekaterih raziskovalcev, da se oprema nahaja v Severni Koreji.
- Lockbit: Kot razširitev datoteke, ki jo organizacija uporablja za šifriranje datotek žrtev, ».abcd virus«, se je prvič pojavil septembra 2019. Zmogljivost LockBita za avtonomno širjenje po ciljnem omrežju je ena od njegovih značilnosti. Za morebitne napadalce je zaradi tega zaželen RaaS.
- REVIL: Čeprav obstaja več ponudnikov RaaS, je bil najpogostejši leta 2021. Napad Kaseya, ki se je zgodil julija 2021 in je vplival na najmanj 1,500 podjetij, je bil povezan z REvil RaaS. Organizacija naj bi stala tudi za napadom junija 2021 na proizvajalca mesa JBS USA, za katerega je morala žrtev plačati 11 milijonov dolarjev odkupnine. Ugotovljeno je bilo tudi, da je odgovoren za napad z izsiljevalsko programsko opremo na ponudnika kibernetskega zavarovanja CNA Financial marca 2021.
Kako preprečiti napade RaaS?
Hekerji RaaS za distribucijo zlonamerne programske opreme najpogosteje uporabljajo sofisticirana e-poštna sporočila za lažno predstavljanje, ki so strokovno ustvarjena tako, da se zdijo pristna. Trden pristop obvladovanja tveganja, ki podpira stalno usposabljanje za ozaveščanje o varnosti za končne uporabnike, je potreben za zaščito pred zlorabami RaaS.
Prva in najboljša zaščita je ustvariti poslovno kulturo, ki končne uporabnike obvešča o najnovejših tehnikah lažnega predstavljanja in nevarnostih, ki jih napadi izsiljevalske programske opreme predstavljajo za njihove finance in ugled. Pobude v zvezi s tem vključujejo:
- Nadgradnja programske opreme: Izsiljevalska programska oprema pogosto izkorišča operacijske sisteme in aplikacije. Da bi preprečili napade izsiljevalske programske opreme, je pomembno, da posodobite programsko opremo, ko so izdani popravki in posodobitve.
- Previdno varnostno kopirajte in obnavljajte svoje podatke: Vzpostavitev strategije varnostnega kopiranja in obnovitve podatkov je prvi in verjetno najpomembnejši korak. Podatki postanejo neuporabni za uporabnike po šifriranju z izsiljevalsko programsko opremo. Vpliv šifriranja podatkov s strani napadalca je mogoče zmanjšati, če ima podjetje trenutne varnostne kopije, ki jih je mogoče uporabiti v postopku obnovitve.
- Preprečevanje lažnega predstavljanja: Lažno predstavljanje prek e-pošte je tipična metoda napada za izsiljevalsko programsko opremo. Napade RaaS je mogoče preprečiti, če je na voljo nekakšna zaščita e-pošte proti lažnemu predstavljanju.
- Večfaktorska avtentikacija: Nekateri napadalci izsiljevalske programske opreme uporabljajo polnjenje poverilnic, kar vključuje uporabo ukradenih gesel z enega mesta na drugem. Ker je za dostop še vedno potreben drugi dejavnik, večfaktorska avtentikacija zmanjša vpliv enega samega gesla, ki se preveč uporablja.
- Varnost za končne točke XDR: Varnost končne točke in tehnologije za lov na grožnje, kot je XDR, ponujajo dodatno ključno raven obrambe pred izsiljevalsko programsko opremo. To ponuja izboljšane zmožnosti zaznavanja in odzivanja, ki pomagajo zmanjšati nevarnost izsiljevalske programske opreme.
- Omejitev DNS: Izsiljevalska programska oprema pogosto uporablja neke vrste strežnik za ukaze in nadzor (C2) za vmesnik s platformo operaterja RaaS. Poizvedba DNS je skoraj vedno vključena v komunikacijo med okuženim računalnikom in strežnikom C2. Organizacije lahko prepoznajo, kdaj poskuša izsiljevalska programska oprema komunicirati z RaaS C2, in preprečijo komunikacijo s pomočjo varnostne rešitve za filtriranje DNS. To lahko deluje kot vrsta preprečevanja okužbe.
Prihodnost RaaS
Napadi RaaS bodo v prihodnosti med hekerji postali bolj razširjeni in priljubljeni. Glede na nedavno poročilo je več kot 60 % vseh kibernetskih napadov v zadnjih 18 mesecih temeljilo na RaaS.
RaaS postaja vse bolj priljubljen zaradi njegove enostavne uporabe in dejstva, da ni potrebno tehnično znanje. Poleg tega bi se morali pripraviti na povečanje napadov RaaS, ki ciljajo na ključno infrastrukturo.
To zajema področja zdravstva, uprave, prometa in energetike. Hekerji menijo, da so te ključne industrije in institucije bolj izpostavljene kot kdaj koli prej, zaradi česar so subjekti, kot so bolnišnice in elektrarne, izpostavljeni napadom RaaS kot dobavne verige težave se nadaljujejo do leta 2022.
zaključek
Skratka, tudi če je Ransomware-as-a-Service (RaaS) stvaritev in ena najnovejših nevarnosti za digitalne uporabnike, je ključnega pomena sprejeti določene preventivne ukrepe za boj proti tej grožnji.
Poleg drugih temeljnih varnostnih ukrepov se lahko zanesete tudi na vrhunska orodja za zaščito pred zlonamerno programsko opremo, ki vas dodatno zaščitijo pred to grožnjo. Na žalost se zdi, da je RaaS zaenkrat tu, da ostane.
Potrebovali boste obsežen načrt tehnologije in kibernetske varnosti za zaščito pred napadi RaaS, da zmanjšate verjetnost uspešnega napada RaaS.
Pustite Odgovori