Рансомваре тешко да је потпуно нова претња на интернету. Његови корени сежу много година уназад. Ова претња је временом постајала све опаснија и немилосрднија.
Реч „рансомваре“ је стекла широко признање као резултат бомбардовања сајбер напада који су многа предузећа учинили неупотребљивим последњих година.
Све датотеке на вашем рачунару су преузете и шифроване, а онда вам екран постаје црн и појављује се порука на енглеском језику који је посрнуо.
Yморате да платите откуп сајбер криминалцима црних шешира у биткоинима или другим криптовалутама којима се не може ући у траг да бисте добили кључ за дешифровање или спречили објављивање ваших осетљивих података на мрачном вебу.
Али мање њих је можда свесно рансомваре-ас-а-Сервице, добро организованог пословног модела подземља који може да изведе ове врсте напада (или РааС).
Уместо да сами спроводе нападе, креатори рансомвера изнајмљују своје скупе вирусе мање искусним сајбер криминалцима који су спремни да преузму ризик повезан са спровођењем операција рансомвера.
Међутим, како све то функционише? Ко води хијерархију, а ко функционише као посредници? И можда још важније, како можете да одбраните свој посао и себе од ових осакаћених напада?
Наставите да читате да бисте сазнали више о РааС-у.
Шта је Рансомваре као услуга (РааС)?
Рансомваре-ас-а-сервице (РааС) је пословни модел криминалног предузећа који омогућава свима да се придруже и користе алате за покретање напада на рансомваре.
Корисници РааС-а, попут оних који користе друге моделе као-услуга, као што су софтвер-као-услуга (СааС) или платформа-као-услуга (ПааС), изнајмљују, а не поседују услуге рансомваре-а.
То је вектор напада софтвер као услуга са ниским кодом који омогућава криминалцима да купују софтвер за рансомваре на мрачном вебу и изводе нападе рансомвера без знања како да кодирају.
Шеме пхисхинг-а е-поште су уобичајени вектор напада за РааС рањивости.
Када жртва кликне на злонамерну везу у е-пошти нападача, рансомваре се преузима и шири преко погођене машине, онемогућујући заштитне зидове и антивирусни софтвер.
РааС софтвер може да тражи начине за подизање привилегија након што је одбрана периметра жртве пробијена, и на крају држи целу организацију као таоца шифровањем датотека до тачке где су недоступне.
Када жртва буде обавештена о нападу, програм ће јој дати упутства о томе како да плати откупнину и (идеално) добије прави криптографски кључ за дешифровање.
Иако су рањивости РааС-а и рансомваре-а незаконити, криминалци који изводе ову врсту напада могу бити посебно изазовни за хапшење јер користе Тор претраживаче (познате и као онион рутери) да приступе својим жртвама и захтевају плаћање откупнине за биткоин.
ФБИ тврди да све више креатора злонамерног софтвера шири своје штетне ЛЦНЦ (лов цоде/но цоде) програме у замену за смањење прихода од изнуде.
Како функционише РааС модел?
Програмери и подружнице сарађују како би извели ефикасан РааС напад. Програмери су задужени за писање специјализованог малвера за рансомваре, који се након тога продаје придруженом предузећу.
Програмери су дали код за рансомваре и упутства за покретање напада. РааС је једноставан за коришћење и захтева мало технолошког знања.
Свако ко има приступ мрачном вебу може ући на портал, придружити се као партнер и покренути нападе једним кликом. Повезане компаније бирају врсту вируса коју желе да дистрибуирају и врше плаћање користећи криптовалуту, обично Битцоин, да би започеле.
Програмер и подружница деле зараду када се новац од откупнине исплати и напад успе. Тип модела прихода одређује како се средства распоређују.
Хајде да испитамо неке од ових незаконитих пословних стратегија.
Аффилиате РааС
Због разних фактора, укључујући свест о бренду групе за рансомваре, стопе успеха кампања и калибар и разноврсност понуђених услуга, подземни партнерски програми постали су један од најпознатијих облика РааС-а.
Криминалне организације често траже хакере који могу сами да уђу у пословне мреже како би задржали свој рансомваре код унутар банде. Затим користе вирус и помоћ да покрену напад.
Међутим, хакеру то можда неће ни требати с обзиром на недавни пораст корпоративне мреже приступа за продају на мрачном вебу да би задовољио ове критеријуме.
Добро подржани, мање искусни хакери покрећу високоризичне нападе у замену за удео у профиту уместо да плаћају месечну или годишњу накнаду за коришћење кода за рансомваре (али повремено ће подружнице можда морати да плате за игру).
Већину времена, рансомваре банде траже хакере који су довољно вешти да пробију у мрежу компаније и довољно храбри да изврше напад.
У овом систему, подружница често прима између 60% и 70% откупнине, а преосталих 30% до 40% шаље РааС оператеру.
РааС заснован на претплати
У овој тактици, преваранти редовно плаћају чланарину да би имали приступ рансомверу, техничкој подршци и ажурирањима вируса. Многи модели услуга претплате засновани на вебу, као што су Нетфлик, Спотифи или Мицрософт Оффице 365, упоредиви су са овим.
Обично преступници рансомваре-а задржавају 100% прихода од плаћања откупа за себе ако унапред плате услугу, што може коштати од 50 до стотине долара сваког месеца, у зависности од добављача РааС-а.
Ове чланарине представљају скромну инвестицију у поређењу са уобичајеном исплатом откупнине од око 220,000 долара. Наравно, партнерски програми такође могу да укључе у своје планове елемент који се плаћа за игру, заснован на претплати.
Доживотна дозвола
Произвођач злонамерног софтвера може одлучити да понуди пакете за једнократно плаћање и избегне ризик да буде директно укључен у сајбер нападе уместо да зарађује новац који се понавља путем претплата и поделе профита.
Сајбер криминалци у овом случају плаћају једнократну накнаду да би добили доживотни приступ комплету рансомваре-а, који могу да користе на било који начин који сматрају прикладним.
Неки сајбер криминалци нижег нивоа могли би да изаберу једнократну куповину чак и ако је знатно скупља (десетине хиљада долара за софистициране комплете) јер би им било теже да се повежу са РааС оператером ако оператер буде ухапшен.
РааС партнерства
За сајбер нападе који користе рансомваре потребно је да сваки укључени хакер има јединствен скуп способности.
У овом сценарију, група би се окупила и пружила различите доприносе операцији. За почетак су потребни програмер кода за рансомваре, хакери на корпоративној мрежи и преговарач о откупу који говори енглески.
У зависности од улоге и значаја у кампањи, сваки учесник, односно партнер, би пристао да подели зараду.
Како открити РааС напад?
Обично не постоји 100% ефикасна заштита од напада од рансомваре-а. Међутим, пхисхинг е-поруке остају примарни метод који се користи за вршење напада на рансомваре.
Стога, компанија мора да обезбеди обуку о свести о пхисхинг-у како би осигурала да чланови особља имају најбоље могуће разумевање о томе како да уоче пхисхинг мејлове.
На техничком нивоу, предузећа могу имати специјализовани тим за сајбер безбедност који је задужен за лов на претње. Лов на претње је веома успешан метод за откривање и спречавање напада рансомваре-а.
У овом процесу се ствара теорија користећи информације о векторима напада. Слутња и подаци помажу у креирању програма који може брзо идентификовати узрок напада и зауставити га.
Да бисте пазили на неочекивана извршења датотека, сумњиво понашање итд. на мрежи, користе се алати за тражење претњи. Да би идентификовали покушаје напада рансомваре-а, они користе сат за индикаторе компромитације (ИОЦ).
Поред тога, користе се многи модели лова на ситуационе претње, од којих је сваки прилагођен индустрији циљне организације.
Примери РааС-а
Аутори рансомваре-а су управо схватили колико је исплативо изградити РааС посао. Поред тога, постојало је неколико организација актера претњи које су успоставиле РааС операције за пропагирање рансомваре-а у скоро сваком послу. Ово су неке од РааС организација:
- Дарксиде: То је један од најозлоглашенијих РааС провајдера. Према извештајима, ова банда је стајала иза напада на Цолониал Пипелине у мају 2021. Верује се да је ДаркСиде почео у августу 2020. и да је достигао врхунац активности током првих неколико месеци 2021. године.
- дхарма: Дхарма Рансомваре се првобитно појавио 2016. под именом ЦриСис. Иако је током година било неколико варијација Дхарма Рансомваре-а, Дхарма се први пут појавила у РааС формату 2020.
- лавиринт: Као и код многих других РааС провајдера, Мазе је дебитовао 2019. Поред шифровања корисничких података, РааС организација је запретила да ће јавно објавити податке у покушају да понизи жртве. Мазе РааС је формално затворен у новембру 2020., иако су разлози за то још увек помало магловити. Неки академици, међутим, верују да су исти преступници опстали под различитим именима, попут Егрегора.
- ДоппелПаимер: Повезан је са бројним догађајима, укључујући онај 2020. против болнице у Немачкој која је однела живот пацијента.
- Риук: Иако је РааС био активнији 2019. године, верује се да је постојао најмање 2017. Многе безбедносне компаније, укључујући ЦровдСтрике и ФиреЕие, демантовале су тврдње одређених истраживача да се одећа налази у Северној Кореји.
- ЛоцкБит: Као екстензију датотеке, организација користи за шифровање датотека жртава, „.абцд вирус“, први пут се појавио у септембру 2019. Капацитет ЛоцкБита да се аутономно шири преко циљне мреже је једна од његових карактеристика. За потенцијалне нападаче, ово га чини пожељним РааС-ом.
- РЕвил: Иако постоји неколико РааС провајдера, то је био најчешћи 2021. Напад Касеиа, који се догодио у јулу 2021. и имао је утицај на најмање 1,500 компанија, био је повезан са РЕвил РааС-ом. Такође се сматра да је организација стајала иза напада на произвођача меса ЈБС УСА у јуну 2021. године, за који је жртва морала да плати 11 милиона долара откупа. Такође је утврђено да је одговоран за напад рансомваре-а на провајдера сајбер осигурања ЦНА Финанциал у марту 2021.
Како спречити РааС нападе?
РааС хакери најчешће користе софистициране е-поруке за крађу идентитета које су стручно креиране да изгледају аутентичне за дистрибуцију малвера. Солидан приступ управљању ризицима који подржава сталну обуку о свести о безбедности за крајње кориснике је неопходан за заштиту од РааС експлоатације.
Прва и најбоља заштита је стварање пословне културе која обавештава крајње кориснике о најновијим техникама пхисхинга и опасностима које напади рансомвера представљају по њихове финансије и репутацију. Иницијативе у том погледу укључују:
- Надоградње софтвера: Оперативни системи и апликације се често искоришћавају од стране рансомваре-а. Да бисте спречили нападе рансомвера, важно је ажурирати софтвер када се објаве закрпе и ажурирања.
- Пазите да направите резервну копију и вратите своје податке: Успостављање стратегије резервног копирања и опоравка података је први и, вероватно, најважнији корак. Подаци постају неупотребљиви за кориснике након шифровања помоћу рансомваре-а. Утицај шифровања података од стране нападача може се смањити ако компанија има тренутне резервне копије које се могу користити у поступку опоравка.
- Превенција пхисхинга: Пецање путем е-поште је типичан метод напада за рансомваре. РааС напади се могу спречити ако постоји нека врста заштите е-поште против крађе идентитета.
- Вишефакторска аутентификација: Неки нападачи рансомваре-а користе пуњење акредитива, што укључује коришћење украдених лозинки са једног сајта на другом. Пошто је још увек потребан други фактор да би се добио приступ, вишефакторска аутентификација смањује утицај једне лозинке која се претерано користи.
- Сигурност за КСДР крајње тачке: Безбедност крајњих тачака и технологије за лов на претње, као што је КСДР, нуде додатни кључни слој одбране од рансомваре-а. Ово нуди побољшане могућности откривања и одговора које помажу у смањењу опасности од рансомваре-а.
- ДНС ограничење: Рансомваре често користи неку врсту командног и контролног (Ц2) сервера за повезивање са платформом РааС оператера. ДНС упит је скоро увек укључен у комуникацију од заражене машине до Ц2 сервера. Организације могу да препознају када рансомваре покушава да ступи у интеракцију са РааС Ц2 и спречи комуникацију уз помоћ безбедносног решења за филтрирање ДНС-а. Ово може деловати као врста превенције инфекције.
Будућност РааС-а
РааС напади ће постати распрострањенији и омиљенији међу хакерима у будућности. Преко 60% свих сајбер напада у последњих 18 месеци, према недавном извештају, било је засновано на РааС-у.
РааС постаје све популарнији због тога што је једноставан за коришћење и чињенице да није потребно никакво техничко знање. Поред тога, требало би да се припремимо за повећање РааС напада који циљају виталну инфраструктуру.
Ово покрива области здравства, администрације, транспорта и енергетике. Хакери виде ове кључне индустрије и институције као изложеније него икад, стављајући ентитете попут болница и електрана у призор РааС напада као ланац снабдевања проблеми се настављају до 2022.
Zakljucak
У закључку, чак и ако је Рансомваре-ас-а-Сервице (РааС) креација и једна од најновијих опасности за напад на дигиталне кориснике, кључно је предузети одређене превентивне мере за борбу против ове претње.
Поред других основних безбедносних мера предострожности, можете се ослонити и на најсавременије алате за заштиту од малвера да би вас додатно заштитили од ове претње. Нажалост, чини се да је РааС ту да остане за сада.
Биће вам потребан свеобухватан план технологије и сајбер безбедности за заштиту од РааС напада да бисте смањили вероватноћу успешног РааС напада.
Ostavite komentar