Talaan ng nilalaman[Tago][Ipakita]
Ang Ransomware ay hindi isang bagong-bagong banta sa internet. Ang mga ugat nito ay bumalik sa maraming taon. Ang banta na ito ay naging mas mapanganib at walang awa sa paglipas ng panahon.
Ang salitang "ransomware" ay nakakuha ng malawakang pagkilala bilang resulta ng pambobomba ng cyberattacks na naging dahilan upang hindi magamit ang maraming negosyo sa mga nakalipas na taon.
Ang lahat ng mga file sa iyong PC ay na-download at na-encrypt, at pagkatapos ay ang iyong screen ay naging itim at isang mensahe sa natitisod na Ingles ay lilitaw.
Ykailangan mong magbayad ng ransom sa mga black hat cybercriminals sa Bitcoin o iba pang hindi masusubaybayang cryptocurrencies upang makakuha ng decryption key o maiwasan ang iyong sensitibong data na mailabas sa dark web.
Ngunit mas kaunti ang maaaring nakakaalam ng ransomware-as-a-Service, isang mahusay na organisadong modelo ng negosyo sa ilalim ng mundo na maaaring magsagawa ng mga ganitong uri ng pag-atake (o RaaS).
Sa halip na sila mismo ang magsagawa ng mga pag-atake, ang mga tagalikha ng ransomware ay nagpapaupa ng kanilang mga mamahaling virus sa mga hindi gaanong karanasan sa cyber criminal na handang tumanggap ng panganib na nauugnay sa pagsasagawa ng mga operasyon ng ransomware.
Paano gumagana ang lahat ng ito bagaman? Sino ang namumuno sa hierarchy at sino ang gumaganap bilang middlemen? At marahil higit sa lahat, paano mo maipagtatanggol ang iyong negosyo at ang iyong sarili laban sa mga nakapipinsalang pag-atakeng ito?
Magpatuloy sa pagbabasa para matuto pa tungkol sa RaaS.
Ano ang Ransomware bilang isang Serbisyo (RaaS)?
Ang Ransomware-as-a-service (RaaS) ay isang criminal enterprise business model na nagpapahintulot sa sinuman na sumali at gumamit ng mga tool para sa paglulunsad ng mga pag-atake ng ransomware.
Ang mga user ng RaaS, tulad ng mga gumagamit ng iba pang mga modelo bilang serbisyo gaya ng software-as-a-service (SaaS) o platform-as-a-service (PaaS), ay nagrerenta sa halip na nagmamay-ari ng mga serbisyo ng ransomware.
Ito ay isang low-code, software-as-a-service attack vector na nagbibigay-daan sa mga kriminal na bumili ng ransomware software sa dark web at magsagawa ng mga pag-atake ng ransomware nang hindi alam kung paano mag-code.
Ang mga scheme ng email phishing ay isang pangkaraniwang vector ng pag-atake para sa mga kahinaan sa RaaS.
Kapag nag-click ang isang biktima sa isang malisyosong link sa email ng umaatake, ang ransomware ay nagda-download at kumakalat sa apektadong makina, hindi pinapagana ang mga firewall at antivirus software.
Ang software ng RaaS ay maaaring maghanap ng mga paraan upang mapataas ang mga pribilehiyo sa sandaling ang mga panlaban sa perimeter ng biktima ay nalabag, at kalaunan ay bihagin ang buong organisasyon sa pamamagitan ng pag-encrypt ng mga file hanggang sa punto kung saan sila ay hindi maabot.
Kapag naabisuhan na ang biktima tungkol sa pag-atake, bibigyan sila ng programa ng mga tagubilin kung paano magbayad ng ransom at (perpekto) makuha ang tamang cryptographic key para sa pag-decryption.
Bagama't ang mga kahinaan sa RaaS at ransomware ay labag sa batas, ang mga kriminal na nagsasagawa ng ganitong uri ng pag-atake ay maaaring maging partikular na mahirap hulihin dahil ginagamit nila ang mga Tor browser (kilala rin bilang mga onion router) upang ma-access ang kanilang mga biktima at humingi ng mga pagbabayad sa bitcoin ransom.
Sinasabi ng FBI na parami nang parami ang mga gumagawa ng malware na nagpapakalat ng kanilang mga mapaminsalang programang LCNC (mababa ang code/no code) kapalit ng pagbawas sa mga nalikom sa pangingikil.
Paano gumagana ang modelo ng RaaS?
Nagtutulungan ang mga Developer at Affiliate para magsagawa ng epektibong pag-atake sa RaaS. Ang mga developer ang namamahala sa pagsulat ng espesyal na ransomware malware, na pagkatapos ay ibinebenta sa isang affiliate.
Ang code ng ransomware at mga tagubilin para sa paglulunsad ng pag-atake ay ibinigay ng mga developer. Ang RaaS ay simpleng gamitin at nangangailangan ng kaunting kaalaman sa teknolohiya.
Ang sinumang may access sa dark web ay maaaring pumasok sa portal, sumali bilang isang affiliate, at maglunsad ng mga pag-atake sa isang pag-click. Pinipili ng mga kaakibat ang uri ng virus na gusto nilang ipamahagi at magbayad gamit ang cryptocurrency, kadalasang Bitcoin, upang makapagsimula.
Hinahati ng developer at ng affiliate ang mga kita kapag binayaran ang ransom money at matagumpay ang pag-atake. Tinutukoy ng uri ng modelo ng kita kung paano inilalaan ang mga pondo.
Suriin natin ang ilan sa mga iligal na diskarte sa negosyo na ito.
Kaakibat na RaaS
Dahil sa iba't ibang salik, kabilang ang kaalaman sa brand ng pangkat ng ransomware, ang mga rate ng tagumpay ng mga kampanya, at ang kalibre at iba't ibang mga serbisyong inaalok, ang mga programang kaakibat sa ilalim ng lupa ay naging isa sa mga pinakakilalang anyo ng RaaS.
Ang mga organisasyong kriminal ay madalas na naghahanap ng mga hacker na maaaring makapasok sa mga network ng negosyo nang mag-isa upang mapanatili ang kanilang ransomware code sa loob ng gang. Pagkatapos ay ginagamit nila ang virus at tulong upang ilunsad ang pag-atake.
Gayunpaman, maaaring hindi ito kailanganin ng isang hacker dahil sa kamakailang pagtaas ng corporate network access-for-sale sa dark web upang matugunan ang mga pamantayang ito.
Ang mahusay na suportado at hindi gaanong karanasan na mga hacker ay naglulunsad ng mga high-risk na pag-atake kapalit ng bahagi ng kita sa halip na magbayad ng buwanan o taunang singil para magamit ang ransomware code (ngunit paminsan-minsan ay maaaring kailangang magbayad ng mga affiliate para maglaro).
Kadalasan, ang mga ransomware gang ay naghahanap ng mga hacker na may sapat na kasanayan upang pumasok sa isang network ng kumpanya at sapat na matapang upang isagawa ang strike.
Sa sistemang ito, madalas na nakakatanggap ang affiliate sa pagitan ng 60% at 70% ng ransom, na ang natitirang 30% hanggang 40% ay ipinapadala sa operator ng RaaS.
RaaS na nakabatay sa subscription
Sa taktikang ito, regular na nagbabayad ang mga scammer ng membership fee para magkaroon ng access sa ransomware, teknikal na suporta, at mga update sa virus. Maraming mga modelo ng serbisyo sa subscription na nakabatay sa web, tulad ng Netflix, Spotify, o Microsoft Office 365, ang maihahambing dito.
Karaniwan, pinapanatili ng mga nagkasala ng ransomware ang 100% ng kita mula sa mga pagbabayad ng ransom para sa kanilang sarili kung magbabayad sila para sa serbisyo nang maaga, na maaaring nagkakahalaga ng $50 hanggang daan-daang dolyar bawat buwan, depende sa supplier ng RaaS.
Ang mga bayarin sa membership na ito ay kumakatawan sa isang maliit na pamumuhunan kumpara sa karaniwang pagbabayad ng ransom na humigit-kumulang $220,000. Siyempre, ang mga kaakibat na programa ay maaari ding magsama ng isang pay-to-play, na nakabatay sa subscription na elemento sa kanilang mga plano.
Panghabambuhay na permit
Maaaring magpasya ang isang producer ng malware na mag-alok ng mga package para sa isang beses na pagbabayad at maiwasan ang pagkuha ng pagkakataong direktang masangkot sa cyberattacks sa halip na kumita ng paulit-ulit na pera sa pamamagitan ng mga subscription at pagbabahagi ng tubo.
Ang mga cybercriminal sa kasong ito ay nagbabayad ng isang beses na singil upang makakuha ng panghabambuhay na access sa isang ransomware kit, na magagamit nila sa anumang paraan na nakikita nilang naaangkop.
Ang ilang mga cybercriminal sa mababang antas ay maaaring pumili ng isang beses na pagbili kahit na ito ay makabuluhang mas mahal (sampu-sampung libong dolyar para sa mga sopistikadong kit) dahil magiging mas mahirap para sa kanila na kumonekta sa operator ng RaaS sakaling mahuli ang operator.
Mga pakikipagsosyo sa RaaS
Ang mga cyberattacks na gumagamit ng ransomware ay nangangailangan na ang bawat hacker na kasangkot ay may natatanging hanay ng mga kakayahan.
Sa ganitong sitwasyon, isang grupo ang magsasama-sama at magbibigay ng iba't ibang kontribusyon sa operasyon. Isang ransomware code developer, corporate network hacker, at isang ransom negotiator na nagsasalita ng Ingles ay kinakailangan upang makapagsimula.
Depende sa kanilang tungkulin at kahalagahan sa kampanya, bawat kalahok, o kasosyo, ay sasang-ayon na hatiin ang mga kita.
Paano matukoy ang pag-atake ng RaaS?
Karaniwan, walang ransomware assault protection na 100% epektibo. Gayunpaman, ang mga email sa phishing ay nananatiling pangunahing paraan na ginagamit upang magsagawa ng mga pag-atake sa ransomware.
Samakatuwid, ang isang kumpanya ay kailangang magbigay ng pagsasanay sa kaalaman sa phishing upang matiyak na ang mga miyembro ng kawani ay may pinakamahusay na posibleng pag-unawa sa kung paano makita ang mga email ng phishing.
Sa isang teknikal na antas, ang mga negosyo ay maaaring magkaroon ng isang dalubhasang pangkat ng cybersecurity na naatasang gumawa ng pangangaso ng pagbabanta. Ang pangangaso ng pagbabanta ay isang napakatagumpay na paraan para sa pagtukoy at pagpigil sa mga pag-atake ng ransomware.
Ang isang teorya ay nilikha sa prosesong ito gamit ang impormasyon sa mga vector ng pag-atake. Ang kutob at data ay nakakatulong sa paglikha ng isang programa na maaaring mabilis na matukoy ang sanhi ng pag-atake at matigil ito.
Upang mabantayan ang mga hindi inaasahang pagpapatupad ng file, kahina-hinalang pag-uugali, atbp. sa network, ginagamit ang mga tool sa pangangaso ng pagbabanta. Upang matukoy ang mga pagtatangkang pag-atake ng ransomware, ginagamit nila ang relo para sa Indicators of Compromise (IOCs).
Bukod pa rito, maraming mga modelo sa pangangaso ng pagbabanta sa sitwasyon ang ginagamit, bawat isa ay iniayon sa industriya ng target na organisasyon.
Mga halimbawa ng RaaS
Napagtanto ng mga may-akda ng ransomware kung gaano kumikita ang pagbuo ng isang negosyong RaaS. Bukod pa rito, nagkaroon ng ilang organisasyon ng banta ng aktor na nagtatag ng mga operasyon ng RaaS upang magpalaganap ng ransomware sa halos lahat ng negosyo. Ito ang ilan sa mga organisasyon ng RaaS:
- madilim na bahagi: Ito ay isa sa pinakasikat na RaaS provider. Ayon sa mga ulat, ang gang na ito ang nasa likod ng pag-atake sa Colonial Pipeline noong Mayo 2021. Pinaniniwalaang nagsimula ang DarkSide noong Agosto ng 2020 at sumikat sa aktibidad sa mga unang buwan ng 2021.
- Dharma: Ang Dharma Ransomware ay orihinal na lumabas noong 2016 sa ilalim ng pangalang CrySis. Bagama't nagkaroon ng ilang mga pagkakaiba-iba ng Dharma Ransomware sa buong taon, unang lumitaw ang Dharma sa isang RaaS na format noong 2020.
- Pagkataranta: Tulad ng maraming iba pang RaaS provider, nag-debut ang Maze noong 2019. Bilang karagdagan sa pag-encrypt ng data ng user, nagbanta ang organisasyon ng RaaS na maglalabas ng data sa publiko sa pagsisikap na hiyain ang mga biktima. Pormal na isinara ang Maze RaaS noong Nobyembre 2020, kahit na medyo malabo pa rin ang mga dahilan nito. Ang ilang mga akademya, gayunpaman, ay naniniwala na ang parehong mga nagkasala ay nanatili sa ilalim ng iba't ibang mga pangalan, tulad ng Egregor.
- DoppelPaymer: Ito ay konektado sa isang bilang ng mga kaganapan, kabilang ang isa sa 2020 laban sa isang ospital sa Germany na kumitil sa buhay ng isang pasyente.
- Ryuk: Bagama't naging mas aktibo ang RaaS noong 2019, pinaniniwalaang umiral ito kahit man lang noong 2017. Maraming kumpanya ng seguridad, kabilang ang CrowdStrike at FireEye, ang tumanggi sa mga pahayag na ginawa ng ilang mananaliksik na ang outfit ay matatagpuan sa North Korea.
- LockBit: Bilang extension ng file, ginagamit ng organisasyon na i-encrypt ang mga file ng biktima, ".abcd virus," unang lumabas noong Setyembre 2019. Ang kapasidad ng LockBit na awtomatikong kumalat sa isang target na network ay isa sa mga feature nito. Para sa mga magiging umaatake, ginagawa nitong isang kanais-nais na RaaS.
- Magbalik-loob: Bagama't mayroong ilang RaaS provider, ito ang pinakakaraniwan noong 2021. Ang Kaseya assault, na naganap noong Hulyo 2021 at nagkaroon ng epekto sa hindi bababa sa 1,500 kumpanya, ay na-link sa REvil RaaS. Ipinapalagay din na ang organisasyon ang nasa likod ng pag-atake noong Hunyo 2021 sa tagagawa ng karne na JBS USA, kung saan ang biktima ay kailangang magbayad ng $11 milyon na ransom. Napag-alaman din na responsable para sa isang ransomware na pag-atake sa cyber insurance provider na CNA Financial noong Marso 2021.
Paano maiwasan ang pag-atake ng RaaS?
Ang mga hacker ng RaaS ay kadalasang gumagamit ng mga sopistikadong spear-phishing na mga email na dalubhasang nilikha upang magmukhang tunay upang ipamahagi ang malware. Ang isang matatag na diskarte sa pamamahala ng peligro na sumusuporta sa patuloy na pagsasanay sa kaalaman sa seguridad para sa mga end-user ay kinakailangan upang maprotektahan laban sa mga pagsasamantala sa RaaS.
Ang una at ang pinakamahusay na proteksyon ay ang lumikha ng kultura ng negosyo na nagpapaalam sa mga end-user tungkol sa pinakabagong mga diskarte sa phishing at ang mga panganib na kinakatawan ng mga pag-atake ng ransomware sa kanilang mga pananalapi at reputasyon. Ang mga inisyatiba sa bagay na ito ay kinabibilangan ng:
- Mga pag-upgrade ng software: Ang mga operating system at app ay madalas na pinagsamantalahan ng ransomware. Upang makatulong na ihinto ang pag-atake ng ransomware, mahalagang i-update ang software kapag inilabas ang mga patch at update.
- Maging maingat sa pag-backup at pagpapanumbalik ng iyong data: Ang pagtatatag ng backup ng data at diskarte sa pagbawi ay ang una at, marahil, pinakamahalagang hakbang. Ang data ay nagiging hindi magagamit para sa mga user pagkatapos ng pag-encrypt ng ransomware. Ang epekto ng pag-encrypt ng data ng isang umaatake ay maaaring mabawasan kung ang isang kumpanya ay may kasalukuyang mga backup na maaaring magamit sa isang pamamaraan sa pagbawi.
- Pag-iwas sa phishing: Ang phishing sa pamamagitan ng mga email ay isang tipikal na paraan ng pag-atake para sa ransomware. Maaaring mapigilan ang mga pag-atake ng RaaS kung mayroong ilang uri ng proteksyon sa email na anti-phishing.
- Multi-factor na pagpapatotoo: Ang ilang ransomware attackers ay gumagamit ng credential stuffing, na kinabibilangan ng paggamit ng mga ninakaw na password mula sa isang site sa isa pa. Dahil kailangan pa rin ng pangalawang salik para makakuha ng access, pinapababa ng multifactor authentication ang epekto ng isang password na labis na nagamit.
- Seguridad para sa mga endpoint ng XDR: Ang seguridad ng endpoint at mga teknolohiya sa pangangaso ng pagbabanta, tulad ng XDR, ay nag-aalok ng karagdagang mahalagang layer ng depensa laban sa ransomware. Nag-aalok ito ng pinahusay na mga kakayahan sa pagtuklas at pagtugon na makakatulong na mabawasan ang panganib ng ransomware.
- Paghihigpit sa DNS: Ang Ransomware ay madalas na gumagamit ng ilang uri ng command at control (C2) server upang mag-interface sa platform ng isang RaaS operator. Ang isang query sa DNS ay halos palaging kasangkot sa mga komunikasyon mula sa isang nahawaang makina patungo sa C2 server. Makikilala ng mga organisasyon kung kailan sinusubukan ng ransomware na makipag-ugnayan sa RaaS C2 at pigilan ang mga komunikasyon sa tulong ng solusyon sa seguridad sa pag-filter ng DNS. Maaari itong kumilos bilang isang uri ng pag-iwas sa impeksyon.
Kinabukasan ng RaaS
Ang mga pag-atake sa RaaS ay magiging mas laganap at mas gusto ng mga hacker sa hinaharap. Higit sa 60% ng lahat ng cyberattacks sa nakalipas na 18 buwan, ayon sa isang kamakailang ulat, ay batay sa RaaS.
Ang RaaS ay nagiging mas at mas popular bilang isang resulta ng kung gaano kadali ito gamitin at ang katotohanan na walang teknikal na kaalaman ay kinakailangan. Bukod pa rito, dapat tayong maghanda para sa pagtaas ng mga pag-atake sa RaaS na nagta-target ng mahahalagang imprastraktura.
Sinasaklaw nito ang mga larangan ng pangangalagang pangkalusugan, pangangasiwa, transportasyon, at enerhiya. Tinitingnan ng mga hacker ang mahahalagang industriya at institusyong ito bilang mas nakalantad kaysa dati, na naglalagay ng mga entity tulad ng mga ospital at power plant sa mga tanawin ng pag-atake ng RaaS bilang supply kadena magpapatuloy ang mga isyu hanggang 2022.
Konklusyon
Sa konklusyon, kahit na ang Ransomware-as-a-Service (RaaS) ay isang paglikha at isa sa mga pinakabagong panganib na mabiktima ng mga digital na user, napakahalagang gumawa ng ilang mga hakbang sa pag-iwas upang labanan ang banta na ito.
Bilang karagdagan sa iba pang pangunahing pag-iingat sa seguridad, maaari ka ring umasa sa mga makabagong tool na antimalware upang higit na maprotektahan ka mula sa banta na ito. Nakalulungkot, mukhang nandito si RaaS para manatili pansamantala.
Kakailanganin mo ang isang komprehensibong teknolohiya at plano sa cybersecurity upang maprotektahan laban sa mga pag-atake ng RaaS upang mabawasan ang posibilidad ng isang matagumpay na pag-atake sa RaaS.
Mag-iwan ng Sagot