Ransomware vështirë se është një kërcënim krejt i ri në internet. Rrënjët e saj shkojnë shumë vite më parë. Ky kërcënim vetëm sa është bërë më i rrezikshëm dhe i pamëshirshëm me kalimin e kohës.
Fjala "ransomware" ka fituar njohje të gjerë si rezultat i bombardimeve të sulmeve kibernetike që kanë bërë shumë biznese të papërdorshme në vitet e fundit.
Të gjithë skedarët në kompjuterin tuaj janë shkarkuar dhe koduar, dhe më pas ekrani juaj bëhet i zi dhe shfaqet një mesazh në anglisht pengues.
Yju duhet të paguani një shpërblim për kriminelët kibernetikë të kapelës së zezë në Bitcoin ose kriptovaluta të tjera të pagjurmueshme, në mënyrë që të merrni një çelës deshifrimi ose të parandaloni lëshimin e të dhënave tuaja të ndjeshme në rrjetin e errët.
Por më pak mund të jenë të vetëdijshëm për ransomware-as-a-service, një model biznesi i mirëorganizuar i botës së krimit që mund të kryejë këto lloj sulmesh (ose RaaS).
Në vend që të kryejnë vetë sulme, krijuesit e ransomware-ve u japin me qira viruset e tyre të shtrenjta kriminelëve kibernetikë më pak me përvojë, të cilët janë të gatshëm të përballojnë rrezikun që lidhet me kryerjen e operacioneve të ransomware.
Megjithatë, si funksionon e gjithë kjo? Kush drejton hierarkinë dhe kush funksionon si ndërmjetës? Dhe ndoshta më e rëndësishmja, si mund ta mbroni biznesin tuaj dhe veten kundër këtyre sulmeve gjymtuese?
Vazhdoni të lexoni për të mësuar më shumë rreth RaaS.
Çfarë është Ransomware si shërbim (RaaS)?
Ransomware-as-a-service (RaaS) është një model biznesi i ndërmarrjes kriminale që lejon këdo që të bashkohet dhe të përdorë mjete për të nisur sulme ransomware.
Përdoruesit e RaaS, si ata që përdorin modele të tjera si shërbim si softueri si shërbim (SaaS) ose platforma si shërbim (PaaS), marrin me qira në vend që të zotërojnë shërbime ransomware.
Është një vektor sulmi me kod të ulët, softuer si shërbim, që u mundëson kriminelëve të blejnë softuer ransomware në rrjetin e errët dhe të kryejnë sulme ransomware pa ditur se si të kodojnë.
Skemat e phishing me email janë një vektor i zakonshëm sulmi për dobësitë RaaS.
Kur një viktimë klikon në një lidhje me qëllim të keq në emailin e sulmuesit, ransomware shkarkon dhe përhapet në të gjithë makinën e prekur, duke çaktivizuar muret e zjarrit dhe softuerin antivirus.
Softueri RaaS mund të gjejë mënyra për të ngritur privilegjet pasi të jetë shkelur mbrojtja rrethuese e viktimës dhe përfundimisht të mbajë peng të gjithë organizatën duke enkriptuar skedarët deri në pikën ku ato janë të paarritshme.
Pasi viktima të jetë informuar për sulmin, programi do t'i japë atyre udhëzime se si të paguajnë shpërblimin dhe (në mënyrë ideale) të marrin çelësin e duhur kriptografik për deshifrim.
Megjithëse dobësitë e RaaS dhe ransomware janë të paligjshme, kriminelët që kryejnë këtë lloj sulmi mund të jenë veçanërisht sfidues për t'u kapur, sepse ata përdorin shfletuesit Tor (të njohur edhe si ruterat e qepës) për të hyrë në viktimat e tyre dhe për të kërkuar pagesa të shpërblesës në bitcoin.
FBI pretendon se gjithnjë e më shumë krijues të malware po shpërndajnë programet e tyre të dëmshme LCNC (kod të ulët/pa kod) në këmbim të një shkurtimi të të ardhurave nga zhvatja.
Si funksionon modeli RaaS?
Zhvilluesit dhe bashkëpunëtorët bashkëpunojnë për të kryer një sulm efektiv RaaS. Zhvilluesit janë përgjegjës për të shkruar malware të specializuar ransomware, i cili më pas i shitet një filiali.
Kodi i ransomware dhe udhëzimet për nisjen e sulmit sigurohen nga zhvilluesit. RaaS është i thjeshtë për t'u përdorur dhe kërkon pak njohuri teknologjike.
Kushdo që ka akses në ueb-in e errët mund të hyjë në portal, të bashkohet si bashkëpunëtor dhe të nisë sulme me një klikim të vetëm. Filialet zgjedhin llojin e virusit që duan të shpërndajnë dhe bëjnë një pagesë duke përdorur një kriptomonedhë, zakonisht Bitcoin, për të filluar.
Zhvilluesi dhe filiali i ndajnë fitimet kur paguhen paratë e shpërblimit dhe sulmi është i suksesshëm. Lloji i modelit të të ardhurave përcakton se si ndahen fondet.
Le të shqyrtojmë disa nga këto strategji biznesi të paligjshme.
Filialin RaaS
Për shkak të një sërë faktorësh, duke përfshirë ndërgjegjësimin për markën e grupit të ransomware, përqindjet e suksesit të fushatave dhe kalibrit dhe shumëllojshmërisë së shërbimeve të ofruara, programet e filialeve nëntokësore janë bërë një nga format më të njohura të RaaS.
Organizatat kriminale shpesh kërkojnë hakerë që mund të hyjnë vetë në rrjetet e biznesit në mënyrë që të ruajnë kodin e tyre ransomware brenda bandës. Ata më pas përdorin virusin dhe ndihmën për të nisur sulmin.
Megjithatë, një haker mund të mos ketë nevojë as për këtë duke pasur parasysh rritjen e fundit të aksesit për shitje në rrjetin e korporatave në rrjetin e errët për të përmbushur këto kritere.
Hakerë të mbështetur mirë, me më pak përvojë, nisin sulme me rrezik të lartë në këmbim të një pjese fitimi në vend që të paguajnë një tarifë mujore ose vjetore për të përdorur kodin e ransomware (por herë pas here filialet mund të duhet të paguajnë për të luajtur).
Në shumicën e rasteve, bandat e ransomware kërkojnë hakerë mjaftueshëm të aftë për të depërtuar në një rrjet kompanish dhe mjaft të guximshëm për të kryer sulmin.
Në këtë sistem, filiali shpesh merr ndërmjet 60% dhe 70% të shpërblimit, ndërsa pjesa e mbetur prej 30% deri në 40% i dërgohet operatorit RaaS.
RaaS i bazuar në pajtim
Në këtë taktikë, mashtruesit paguajnë një tarifë anëtarësimi në baza të rregullta për të pasur akses në ransomware, mbështetje teknike dhe përditësime të viruseve. Shumë modele të shërbimeve të abonimit të bazuara në ueb, si Netflix, Spotify ose Microsoft Office 365, janë të krahasueshme me këtë.
Normalisht, shkelësit e ransomware mbajnë 100% të të ardhurave nga pagesat e shpërblesës për veten e tyre nëse paguajnë për shërbimin paraprakisht, i cili mund të kushtojë 50 dollarë deri në qindra dollarë çdo muaj, në varësi të furnizuesit të RaaS.
Këto tarifa anëtarësimi përfaqësojnë një investim modest në krahasim me pagesën e zakonshme të shpërblimit prej rreth 220,000 dollarë. Natyrisht, programet e filialeve mund të përfshijnë gjithashtu një element pagese-to-play, të bazuar në abonim në planet e tyre.
Leje të përjetshme
Një prodhues malware mund të vendosë të ofrojë paketa për një pagesë një herë dhe të shmangë mundësinë për t'u përfshirë drejtpërdrejt në sulme kibernetike në vend që të fitojë para të përsëritura nëpërmjet abonimeve dhe ndarjes së fitimeve.
Kriminelët kibernetikë në këtë rast paguajnë një tarifë një herë për të marrë akses gjatë gjithë jetës në një komplet ransomware, të cilin ata mund ta përdorin në çdo mënyrë që ata e shohin të përshtatshme.
Disa kriminelë kibernetikë të nivelit më të ulët mund të zgjedhin një blerje të njëhershme edhe nëse është dukshëm më e shtrenjtë (dhjetëra mijëra dollarë për komplete të sofistikuara) pasi do të ishte më e vështirë për ta të lidhen me operatorin RaaS nëse operatori kapet.
Partneritetet RaaS
Sulmet kibernetike që përdorin ransomware duhet që çdo haker i përfshirë të ketë një grup unik aftësish.
Në këtë skenar, një grup do të mblidhej dhe do të jepte kontribute të ndryshme në operacion. Për të filluar, kërkohet një zhvillues i kodeve të shpërblesës, hakerë të rrjetit të korporatave dhe një negociator që flet anglisht.
Në varësi të rolit dhe rëndësisë së tyre në fushatë, secili pjesëmarrës ose partner do të pranonte të ndajë të ardhurat.
Si të zbuloni një sulm RaaS?
Në mënyrë tipike, nuk ka asnjë mbrojtje kundër sulmit ransomware që është 100% efektive. Sidoqoftë, emailet e phishing mbeten metoda kryesore e përdorur për të kryer sulme ransomware.
Prandaj, një kompani duhet të ofrojë trajnime për ndërgjegjësimin e phishing për të siguruar që anëtarët e stafit të kenë kuptimin më të mirë të mundshëm se si të dallojnë emailet e phishing.
Në një nivel teknik, bizneset mund të kenë një ekip të specializuar të sigurisë kibernetike të ngarkuar me kërkimin e kërcënimeve. Gjuetia e kërcënimeve është një metodë shumë e suksesshme për zbulimin dhe parandalimin e sulmeve të ransomware.
Në këtë proces krijohet një teori duke përdorur informacionin mbi vektorët e sulmit. Pretendimi dhe të dhënat ndihmojnë në krijimin e një programi që mund të identifikojë shpejt shkakun e sulmit dhe ta ndalojë atë.
Për të mbajtur një sy për ekzekutime të papritura të skedarëve, sjellje të dyshimta, etj. në rrjet, përdoren mjetet e gjuetisë së kërcënimeve. Për të identifikuar tentativat për sulme ransomware, ata përdorin orën për Treguesit e Kompromisit (IOC).
Për më tepër, përdoren shumë modele të gjuetisë së kërcënimeve të situatës, secila prej të cilave është përshtatur për industrinë e organizatës së synuar.
Shembuj të RaaS
Autorët e ransomware sapo kanë kuptuar se sa fitimprurës është të ndërtosh një biznes RaaS. Për më tepër, ka pasur disa organizata aktorë kërcënimi që kanë krijuar operacione RaaS për të përhapur ransomware në pothuajse çdo biznes. Këto janë disa nga organizatat RaaS:
- Ana e erret: Është një nga ofruesit më famëkeq të RaaS. Sipas raportimeve, kjo bandë ishte pas sulmit në Gazsjellësin Kolonial në maj 2021. DarkSide besohet të ketë filluar në gusht të 2020 dhe arriti kulmin në aktivitet gjatë muajve të parë të 2021.
- Dharma: Dharma Ransomware fillimisht u shfaq në 2016 me emrin CrySis. Edhe pse ka pasur disa variacione Dharma Ransomware gjatë viteve, Dharma u shfaq për herë të parë në një format RaaS në 2020.
- Labirint: Ashtu si me shumë ofrues të tjerë të RaaS, Maze debutoi në vitin 2019. Përveç kriptimit të të dhënave të përdoruesve, organizata RaaS kërcënoi të publikonte të dhëna në një përpjekje për të poshtëruar viktimat. Maze RaaS u mbyll zyrtarisht në nëntor 2020, megjithëse arsyet për këtë janë ende disi të mjegullta. Megjithatë, disa akademikë besojnë se të njëjtët shkelës kanë vazhduar me emra të ndryshëm, si Egregor.
- DoppelPaymer: Është lidhur me një sërë ngjarjesh, duke përfshirë një në 2020 kundër një spitali në Gjermani që i mori jetën një pacienti.
- Ryuk: Edhe pse RaaS ishte më aktiv në vitin 2019, besohet se ka ekzistuar të paktën në vitin 2017. Shumë kompani sigurie, duke përfshirë CrowdStrike dhe FireEye, kanë mohuar pretendimet e bëra nga disa studiues se veshja ndodhet në Korenë e Veriut.
- LockBit: Si shtesë e skedarit, organizata përdor për të enkriptuar skedarët e viktimave, ".abcd virus", u shfaq për herë të parë në shtator 2019. Kapaciteti i LockBit për t'u përhapur në mënyrë autonome mbi një rrjet të synuar është një nga veçoritë e tij. Për sulmuesit e mundshëm, kjo e bën atë një RaaS të dëshirueshëm.
- Sulmi: Megjithëse ka disa ofrues të RaaS, ai ishte më i zakonshmi në vitin 2021. Sulmi i Kaseya, i cili ndodhi në korrik 2021 dhe pati një ndikim në të paktën 1,500 kompani, ishte i lidhur me REvil RaaS. Organizata mendohet gjithashtu të ketë qenë pas sulmit të qershorit 2021 ndaj prodhuesit të mishit JBS USA, për të cilin viktima duhej të paguante një shpërblim prej 11 milionë dollarësh. Gjithashtu u zbulua se ishte përgjegjës për një sulm ransomware ndaj ofruesit të sigurimeve kibernetike CNA Financial në Mars 2021.
Si të parandaloni sulmet RaaS?
Hakerat RaaS përdorin më shpesh emaile të sofistikuara spear-phishing që janë krijuar me mjeshtëri që të duken autentike për të shpërndarë malware. Një qasje solide e menaxhimit të rrezikut që mbështet trajnimin e vazhdueshëm të ndërgjegjësimit të sigurisë për përdoruesit fundorë është e nevojshme për të mbrojtur kundër shfrytëzimeve të RaaS.
Mbrojtja e parë dhe më e mirë është krijimi i një kulture biznesi që informon përdoruesit fundorë për teknikat më të fundit të phishing dhe rreziqet që paraqesin sulmet e ransomware për financat dhe reputacionin e tyre. Iniciativat në këtë drejtim përfshijnë:
- Përmirësimet e softuerit: Sistemet operative dhe aplikacionet shfrytëzohen shpesh nga ransomware. Për të ndihmuar në ndalimin e sulmeve të ransomware, është e rëndësishme të përditësoni softuerin kur lëshohen arnimet dhe përditësimet.
- Bëni kujdes që të kopjoni dhe rivendosni të dhënat tuaja: Krijimi i një strategjie rezervë dhe rikuperimi të të dhënave është hapi i parë dhe ndoshta më i rëndësishëm. Të dhënat bëhen të papërdorshme për përdoruesit pas kriptimit nga ransomware. Ndikimi i kriptimit të të dhënave nga një sulmues mund të pakësohet nëse një kompani ka kopje rezervë aktuale që mund të përdoren në një procedurë rikuperimi.
- Parandalimi i phishing: Phishing përmes emaileve është një metodë tipike sulmi për ransomware. Sulmet RaaS mund të parandalohen nëse ekziston një lloj mbrojtjeje e postës elektronike kundër phishing.
- Autentifikimi me shumë faktorë: Disa sulmues ransomware përdorin mbushje kredenciale, që përfshin përdorimin e fjalëkalimeve të vjedhura nga një sajt në tjetrin. Për shkak se një faktor i dytë kërkohet ende për të marrë akses, vërtetimi me shumë faktorë pakëson ndikimin e një fjalëkalimi të vetëm që përdoret tepër.
- Siguria për pikat fundore XDR: Siguria e pikës së fundit dhe teknologjitë e gjuetisë së kërcënimeve, si XDR, ofrojnë një shtresë shtesë thelbësore të mbrojtjes kundër ransomware. Kjo ofron aftësi të zgjeruara zbulimi dhe reagimi që ndihmojnë në reduktimin e rrezikut të ransomware.
- Kufizim DNS: Ransomware shpesh përdor një lloj serveri komandimi dhe kontrolli (C2) për t'u ndërlidhur me platformën e një operatori RaaS. Një pyetje DNS është pothuajse gjithmonë e përfshirë në komunikimet nga një makinë e infektuar në serverin C2. Organizatat mund të njohin kur ransomware po përpiqet të ndërveprojë me RaaS C2 dhe të parandalojë komunikimet me ndihmën e një zgjidhje sigurie të filtrimit DNS. Kjo mund të veprojë si një lloj parandalimi i infeksionit.
E ardhmja e RaaS
Sulmet RaaS do të bëhen më të përhapura dhe më të pëlqyera nga hakerat në të ardhmen. Mbi 60% e të gjitha sulmeve kibernetike në 18 muajt e fundit, sipas një raporti të fundit, ishin të bazuara në RaaS.
RaaS po bëhet gjithnjë e më popullor si rezultat i përdorimit të thjeshtë dhe faktit që nuk ka nevojë për njohuri teknike. Për më tepër, ne duhet të përgatitemi për një rritje të sulmeve RaaS që synojnë infrastrukturën jetike.
Kjo mbulon fushat e kujdesit shëndetësor, administratës, transportit dhe energjisë. Hakerët i shohin këto industri dhe institucione të rëndësishme si më të ekspozuara se kurrë, duke i vënë entitete si spitalet dhe termocentralet në pamjen e sulmeve të RaaS si zinxhirit të furnizimit çështjet vazhdojnë deri në vitin 2022.
Përfundim
Si përfundim, edhe nëse Ransomware-as-a-Service (RaaS) është një krijim dhe një nga rreziqet më të fundit për pre e përdoruesve dixhitalë, është thelbësore të merren masa të caktuara parandaluese për të luftuar këtë kërcënim.
Përveç masave të tjera themelore të sigurisë, mund të mbështeteni gjithashtu në mjetet më të fundit antimalware për t'ju mbrojtur më tej nga ky kërcënim. Për fat të keq, RaaS duket se është këtu për të qëndruar për momentin.
Do t'ju duhet një plan gjithëpërfshirës teknologjik dhe sigurie kibernetike për t'u mbrojtur nga sulmet RaaS për të zvogëluar gjasat e një sulmi të suksesshëm RaaS.
Lini një Përgjigju