Ransomware är knappast ett helt nytt hot på internet. Dess rötter går många år tillbaka i tiden. Detta hot har bara blivit farligare och hänsynslöst med tiden.
Ordet "ransomware" har fått ett brett erkännande som ett resultat av bombardementet av cyberattacker som har gjort många företag oanvändbara de senaste åren.
Alla filer på din PC har laddats ner och krypterats, och sedan blir skärmen svart och ett meddelande på snubblande engelska visas.
Ydu måste betala en lösensumma till svarthatade cyberkriminella i Bitcoin eller andra ospårbara kryptovalutor för att få en dekrypteringsnyckel eller förhindra att dina känsliga uppgifter släpps på den mörka webben.
Men färre kanske är medvetna om ransomware-as-a-Service, en välorganiserad affärsmodell under världen som kan utföra dessa typer av attacker (eller RaaS).
Istället för att utföra attacker själva hyr skapare av ransomware ut sina dyra virus till mindre erfarna cyberbrottslingar som är beredda att ta risken med att utföra ransomware-operationer.
Men hur fungerar det hela? Vem leder hierarkin och vilka fungerar som mellanhänder? Och kanske ännu mer avgörande, hur kan du försvara ditt företag och dig själv mot dessa förödande övergrepp?
Fortsätt läsa för att lära dig mer om RaaS.
Vad är Ransomware as a Service (RaaS)?
Ransomware-as-a-service (RaaS) är en kriminell affärsmodell som låter vem som helst gå med och använda verktyg för att lansera ransomware-attacker.
RaaS-användare, som de som använder andra as-a-service-modeller som software-as-a-service (SaaS) eller platform-as-a-service (PaaS), hyr snarare än äger ransomware-tjänster.
Det är en lågkodsatt, software-as-a-service-attackvektor som gör det möjligt för brottslingar att köpa ransomware-programvara på den mörka webben och utföra ransomware-attacker utan att veta hur de ska koda.
E-postnätfiske är en vanlig attackvektor för RaaS-sårbarheter.
När ett offer klickar på en skadlig länk i angriparens e-post, laddas ransomware ner och sprids över den drabbade maskinen, vilket inaktiverar brandväggar och antivirusprogram.
RaaS-mjukvaran kan leta efter sätt att höja privilegier när offrets perimeterförsvar har brutits, och så småningom hålla hela organisationen som gisslan genom att kryptera filer till den punkt där de inte går att nå.
När offret har informerats om attacken kommer programmet att ge dem instruktioner om hur man betalar lösen och (helst) får rätt kryptografisk nyckel för dekryptering.
Även om RaaS- och ransomware-sårbarheter är olagliga, kan brottslingar som utför den här typen av övergrepp vara särskilt utmanande att gripa eftersom de använder Tor-webbläsare (även känd som lökroutrar) för att komma åt sina offer och kräva bitcoin-lösensumma.
FBI hävdar att fler och fler skapare av skadlig programvara sprider sina skadliga LCNC-program (låg kod/ingen kod) i utbyte mot en nedskärning av utpressningsintäkterna.
Hur fungerar RaaS-modellen?
Utvecklare och affiliates samarbetar för att utföra en effektiv RaaS-attack. Utvecklare ansvarar för att skriva specialiserad ransomware malware, som sedan säljs till en affiliate.
Ransomware-koden och instruktionerna för att starta attacken tillhandahålls av utvecklarna. RaaS är enkelt att använda och kräver lite teknisk kunskap.
Alla som har tillgång till den mörka webben kan komma in på portalen, gå med som en affiliate och starta angrepp med ett enda klick. Affiliates väljer vilken virustyp de vill distribuera och gör en betalning med en kryptovaluta, vanligtvis Bitcoin, för att komma igång.
Utvecklaren och affiliate delar upp intäkterna när lösenpengarna är betalda och attacken är framgångsrik. Typen av intäktsmodell avgör hur medlen fördelas.
Låt oss undersöka några av dessa illegala affärsstrategier.
Affiliate RaaS
På grund av en mängd olika faktorer, inklusive ransomware-gruppens varumärkesmedvetenhet, framgångsfrekvensen för kampanjerna och kalibern och variationen av de tjänster som erbjuds, har underjordiska affiliate-program blivit en av de mest välkända formerna av RaaS.
Kriminella organisationer letar ofta efter hackare som kan ta sig in i affärsnätverk på egen hand för att behålla sin ransomware-kod inom gänget. De använder sedan viruset och hjälpen för att starta attacken.
En hackare kanske inte ens behöver detta med tanke på den senaste tidens ökning av företagsnätverksåtkomst för försäljning på den mörka webben för att uppfylla dessa kriterier.
Välstödda, mindre erfarna hackare gör angrepp med hög risk i utbyte mot en vinstandel snarare än att betala en månatlig eller årlig avgift för att använda ransomware-koden (men ibland kan affiliates behöva betala för att spela).
Merparten av tiden söker ransomware-gäng hackare som är skickliga nog att bryta sig in i ett företagsnätverk och modiga nog att genomföra strejken.
I det här systemet får affiliaten ofta mellan 60 % och 70 % av lösensumman, medan de återstående 30 % till 40 % skickas till RaaS-operatören.
Prenumerationsbaserad RaaS
I den här taktiken betalar bedragare en medlemsavgift på regelbunden basis för att få tillgång till ransomware, teknisk support och virusuppdateringar. Många webbaserade prenumerationstjänstmodeller, som Netflix, Spotify eller Microsoft Office 365, är jämförbara med detta.
Normalt behåller brottslingar av ransomware 100 % av intäkterna från lösenbetalningar för sig själva om de betalar för tjänsten i förväg, vilket kan kosta $50 till hundratals dollar varje månad, beroende på RaaS-leverantören.
Dessa medlemsavgifter representerar en blygsam investering jämfört med den vanliga lösensumman på cirka 220,000 XNUMX USD. Naturligtvis kan affiliate-program också inkludera ett betal-att-spela, prenumerationsbaserat element i sina planer.
Livstidstillstånd
En producent av skadlig programvara kan bestämma sig för att erbjuda paket för en engångsbetalning och undvika att ta chansen att vara direkt involverad i cyberattacker istället för att tjäna återkommande pengar via prenumerationer och vinstdelning.
Cyberbrottslingar i det här fallet betalar en engångsavgift för att få livslång tillgång till ett ransomware-kit, som de kan använda på vilket sätt som helst.
Vissa cyberbrottslingar på lägre nivå kan välja ett engångsköp även om det är betydligt dyrare (tiotusentals dollar för sofistikerade kit) eftersom det skulle vara svårare för dem att ansluta till RaaS-operatören om operatören skulle gripas.
RaaS partnerskap
Cyberattacker som använder ransomware kräver att varje inblandad hackare har en unik uppsättning förmågor.
I detta scenario skulle en grupp samlas och ge olika bidrag till verksamheten. En ransomware-kodutvecklare, företagshackare och en engelsktalande lösensummaförhandlare krävs för att komma igång.
Beroende på deras roll och betydelse i kampanjen skulle varje deltagare, eller partner, gå med på att dela intäkterna.
Hur upptäcker man en RaaS-attack?
Vanligtvis finns det inget skydd mot ransomware som är 100 % effektivt. Nätfiske-e-post är dock fortfarande den primära metoden som används för att utföra ransomware-angrepp.
Därför måste ett företag tillhandahålla utbildning om nätfiske för att säkerställa att personalen har bästa möjliga förståelse för hur man upptäcker nätfiske-e-post.
På en teknisk nivå kan företag ha ett specialiserat cybersäkerhetsteam med uppgift att bedriva hotjakt. Hotjakt är en mycket framgångsrik metod för att upptäcka och förhindra ransomware-angrepp.
En teori skapas i denna process med hjälp av informationen om attackvektorer. Aningen och data hjälper till att skapa ett program som snabbt kan identifiera orsaken till överfallet och stoppa det.
För att hålla utkik efter oväntade filkörningar, misstänkt beteende etc. på nätverket används verktyg för att söka efter hot. För att identifiera försök till ransomware-attacker använder de sig av klockan för Indicators of Compromise (IOCs).
Dessutom används många situationsbetonade hotjaktmodeller, som var och en är skräddarsydd för målorganisationens bransch.
Exempel på RaaS
Författare av ransomware har precis kommit att inse hur lönsamt det är att bygga en RaaS-verksamhet. Dessutom har det funnits flera hotaktörsorganisationer som etablerar RaaS-verksamhet för att sprida ransomware i nästan alla företag. Det här är några av RaaS-organisationerna:
- Mörk sida: Det är en av de mest ökända RaaS-leverantörerna. Enligt rapporter låg det här gänget bakom attacken mot Colonial Pipeline i maj 2021. DarkSide tros ha startat i augusti 2020 och nått sin topp under de första månaderna av 2021.
- Dharma: Dharma Ransomware dök ursprungligen upp 2016 under namnet CrySis. Även om det har funnits flera varianter av Dharma Ransomware genom åren, dök Dharma upp först i ett RaaS-format 2020.
- Labyrint: Som med många andra RaaS-leverantörer debuterade Maze 2019. Förutom att kryptera användardata, hotade RaaS-organisationen att släppa data offentligt i ett försök att förödmjuka offer. Maze RaaS stängdes formellt av i november 2020, även om orsakerna till detta fortfarande är något oklara. Vissa akademiker tror dock att samma lagöverträdare har framhärdat under olika namn, som Egregor.
- DoppelPaymer: Den har kopplats till ett antal händelser, inklusive en 2020 mot ett sjukhus i Tyskland som krävde en patients liv.
- Ryuk: Även om RaaS var mer aktivt 2019, tros det ha funnits åtminstone under 2017. Många säkerhetsföretag, inklusive CrowdStrike och FireEye, har förnekat påståenden från vissa forskare om att outfiten finns i Nordkorea.
- LockBit: Som filtillägg använder organisationen för att kryptera offerfiler, ".abcd-virus", dök upp först i september 2019. LockBits kapacitet att självständigt sprida över ett målnätverk är en av dess funktioner. För tänkbara angripare gör detta det till en önskvärd RaaS.
- Revil: Även om det finns flera RaaS-leverantörer, var det vanligast 2021. Kaseya-överfallet, som inträffade i juli 2021 och hade en inverkan på minst 1,500 2021 företag, var kopplat till REvil RaaS. Organisationen tros också ha legat bakom attacken mot kötttillverkaren JBS USA i juni 11, för vilken offret fick betala en lösensumma på 2021 miljoner dollar. Det visade sig också vara ansvarigt för ett ransomware-angrepp på cyberförsäkringsleverantören CNA Financial i mars XNUMX.
Hur förhindrar man RaaS-attacker?
RaaS-hackare använder oftast sofistikerade spear-phishing-e-postmeddelanden som är sakkunnigt skapade för att verka autentiska för att distribuera skadlig programvara. En solid riskhanteringsmetod som stöder fortlöpande utbildning i säkerhetsmedvetenhet för slutanvändare är nödvändig för att skydda mot RaaS-missbruk.
Det första och bästa skyddet är att skapa en affärskultur som informerar slutanvändare om de senaste nätfisketeknikerna och de risker som ransomware-attacker utgör för deras ekonomi och rykte. Initiativ i detta avseende inkluderar:
- Programvaruuppgraderingar: Operativsystem och appar utnyttjas ofta av ransomware. För att hjälpa till att stoppa ransomware-attacker är det viktigt att uppdatera programvaran när patchar och uppdateringar släpps.
- Var noga med att säkerhetskopiera och återställa dina data: Att upprätta en strategi för säkerhetskopiering och återställning av data är det första och förmodligen viktigaste steget. Data blir oanvändbar för användare efter kryptering med ransomware. Effekten av datakryptering av en angripare kan minska om ett företag har aktuella säkerhetskopior som kan användas i ett återställningsförfarande.
- Förebyggande av nätfiske: Nätfiske via e-post är en typisk attackmetod för ransomware. RaaS-attacker kan förhindras om det finns något slags e-postskydd mot nätfiske på plats.
- Multipelfaktorautentisering: Vissa ransomware-angripare använder inloggningsfyllning, vilket innebär att man använder stulna lösenord från en sida på en annan. Eftersom en andra faktor fortfarande krävs för att få åtkomst, minskar multifaktorautentisering effekten av ett enda lösenord som överanvänds.
- Säkerhet för XDR-slutpunkter: Endpoint-säkerhet och teknik för hotjakt, som XDR, erbjuder ett ytterligare avgörande lager av försvar mot ransomware. Detta erbjuder förbättrade detektions- och svarsmöjligheter som hjälper till att minska risken för ransomware.
- DNS-begränsning: Ransomware använder ofta någon form av kommando- och kontrollserver (C2) för att samverka med en RaaS-operatörs plattform. En DNS-fråga är nästan alltid involverad i kommunikation från en infekterad maskin till C2-servern. Organisationer kan känna igen när ransomware försöker interagera med RaaS C2 och förhindra kommunikationen med hjälp av en DNS-filtreringssäkerhetslösning. Detta kan fungera som en typ av infektionsförebyggande.
Framtiden för RaaS
RaaS-angrepp kommer att bli mer vanliga och omtyckta bland hackare i framtiden. Över 60 % av alla cyberattacker under de senaste 18 månaderna, enligt en färsk rapport, var RaaS-baserade.
RaaS blir mer och mer populärt som ett resultat av hur enkelt det är att använda och det faktum att ingen teknisk kunskap är nödvändig. Dessutom bör vi förbereda oss för en ökning av RaaS-angrepp som riktar sig mot vital infrastruktur.
Detta omfattar områdena sjukvård, administration, transporter och energi. Hackare ser dessa avgörande industrier och institutioner som mer utsatta än någonsin, vilket sätter enheter som sjukhus och kraftverk i sikte av RaaS-attacker som leveranskedjan problem fortsätter till 2022.
Slutsats
Sammanfattningsvis, även om Ransomware-as-a-Service (RaaS) är en skapelse och en av de senaste farorna mot digitala användare, är det avgörande att vidta vissa förebyggande åtgärder för att bekämpa detta hot.
Förutom andra grundläggande säkerhetsåtgärder kan du också lita på avancerade antimalware-verktyg för att ytterligare skydda dig från detta hot. Tyvärr verkar RaaS vara här för att stanna tills vidare.
Du behöver en omfattande teknik- och cybersäkerhetsplan för att skydda mot RaaS-attacker för att minska sannolikheten för en framgångsrik RaaS-attack.
Kommentera uppropet