Навряд чи програми-вимагачі є новою загрозою в Інтернеті. Його коріння сягає багато років назад. Ця загроза з часом стає лише небезпечнішою та нещадною.
Слово «програмне забезпечення-вимагач» отримало широке визнання в результаті бомбардування кібератак, які за останні роки зробили багато компаній непридатними для використання.
Усі файли на вашому комп’ютері завантажено та зашифровано, а потім екран стає темним і з’являється повідомлення англійською мовою, що спотикається.
YВи повинні заплатити викуп кіберзлочинцям у біткойнах або інших криптовалютах, які неможливо відстежити, щоб отримати ключ дешифрування або запобігти оприлюдненню ваших конфіденційних даних у темній мережі.
Але менше людей можуть знати про програмне забезпечення-вимагач як послугу, добре організовану бізнес-модель злочинного світу, яка може здійснювати такі типи атак (або RaaS).
Замість того, щоб проводити атаки самостійно, розробники програм-вимагачів здають свої дорогі віруси в оренду менш досвідченим кіберзлочинцям, які готові взяти на себе ризик, пов’язаний із проведенням операцій з програмами-вимагачами.
Але як це все працює? Хто очолює ієрархію, а хто виконує функції посередника? І, можливо, важливіше, як ви можете захистити свій бізнес і себе від цих руйнівних нападів?
Продовжуйте читати, щоб дізнатися більше про RaaS.
Що таке програмне забезпечення-вимагач як послуга (RaaS)?
Програмне забезпечення-вимагач як послуга (RaaS) — це бізнес-модель злочинного підприємства, яка дозволяє будь-кому приєднатися та використовувати інструменти для здійснення атак програм-вимагачів.
Користувачі RaaS, як і ті, хто використовує інші моделі як послуга, такі як програмне забезпечення як послуга (SaaS) або платформа як послуга (PaaS), орендують, а не володіють послугами програм-вимагачів.
Це вектор атаки програмного забезпечення як послуги з низьким кодом, який дозволяє злочинцям купувати програмне забезпечення-вимагач у темній мережі та здійснювати атаки програм-вимагачів, не знаючи, як кодувати.
Схеми фішингу електронної пошти є типовим вектором атак для вразливостей RaaS.
Коли жертва натискає на зловмисне посилання в електронному листі зловмисника, програма-вимагач завантажується та поширюється на уражену машину, вимикаючи брандмауери та антивірусне програмне забезпечення.
Програмне забезпечення RaaS може шукати способи підвищити привілеї після того, як захист периметра жертви було зламано, і зрештою утримувати всю організацію в заручниках, шифруючи файли до точки, коли вони стають недоступними.
Після того, як жертва буде проінформована про атаку, програма надасть їй інструкції, як сплатити викуп і (в ідеалі) отримати правильний криптографічний ключ для дешифрування.
Хоча RaaS і уразливості програм-вимагачів є незаконними, злочинців, які здійснюють такий вид нападу, може бути особливо складно затримати, оскільки вони використовують браузери Tor (також відомі як цибулинні маршрутизатори) для доступу до своїх жертв і вимагають викупу в біткойнах.
ФБР стверджує, що все більше розробників шкідливих програм поширюють свої шкідливі програми LCNC (з низьким кодом/без коду) в обмін на скорочення доходів від здирництва.
Як працює модель RaaS?
Розробники та афілійовані особи співпрацюють, щоб здійснити ефективну RaaS-атаку. Розробники відповідають за написання спеціалізованих зловмисних програм-вимагачів, які потім продаються афілійованим особам.
Код програми-вимагача та інструкції щодо запуску атаки надають розробники. RaaS простий у використанні та вимагає невеликих технологічних знань.
Будь-хто, хто має доступ до темної мережі, може увійти на портал, приєднатися як афілійована особа та розпочати напади одним клацанням миші. Афілійовані особи вибирають тип вірусу, який вони хочуть поширювати, і здійснюють платіж за допомогою криптовалюти, зазвичай біткойн, щоб почати.
Розробник і афілійована особа ділять прибуток, коли викуп сплачений і атака успішна. Тип моделі доходів визначає, як розподіляються кошти.
Давайте розглянемо деякі з цих незаконних бізнес-стратегій.
Партнер RaaS
Завдяки низці факторів, включаючи впізнаваність бренду групи програм-вимагачів, рівень успішності кампаній, а також рівень і різноманітність пропонованих послуг, підпільні партнерські програми стали однією з найвідоміших форм RaaS.
Злочинні організації часто шукають хакерів, які можуть самостійно проникнути в бізнес-мережі, щоб зберегти свій код програм-вимагачів у банді. Потім вони використовують вірус і допомогу для початку нападу.
Однак хакеру це може навіть не знадобитися, враховуючи нещодавнє зростання корпоративного доступу до мережі для продажу в темній мережі, щоб задовольнити ці критерії.
Добре підтримані менш досвідчені хакери здійснюють напади з високим ризиком в обмін на частку прибутку, а не сплачують щомісячну або річну плату за використання коду програм-вимагачів (але іноді афілійованим особам може знадобитися платити, щоб грати).
У більшості випадків угруповання програм-вимагачів шукають хакерів, достатньо вправних, щоб зламати мережу компанії, і достатньо сміливих, щоб завдати удару.
У цій системі афілійована особа часто отримує від 60% до 70% викупу, а решта від 30% до 40% надсилається оператору RaaS.
RaaS на основі підписки
У цій тактиці шахраї регулярно сплачують членські внески, щоб мати доступ до програм-вимагачів, технічної підтримки та оновлень вірусів. Багато моделей послуг передплати через Інтернет, як-от Netflix, Spotify або Microsoft Office 365, можна порівняти з цим.
Зазвичай зловмисники-вимагачі залишають собі 100% доходу від платежів викупу, якщо вони сплачують за послугу наперед, яка може коштувати від 50 до сотень доларів щомісяця, залежно від постачальника RaaS.
Ці членські внески є скромними інвестиціями порівняно зі звичайним викупом у розмірі близько 220,000 XNUMX доларів США. Звичайно, партнерські програми також можуть включати в свої плани елемент оплати за гру, заснований на підписці.
Довічна путівка
Виробник зловмисного програмного забезпечення може вирішити запропонувати пакети за одноразову оплату та уникнути ризику прямої участі в кібератаках замість того, щоб заробляти постійні гроші через підписки та розподіл прибутку.
У цьому випадку кіберзлочинці сплачують одноразову плату, щоб отримати довічний доступ до набору програм-вимагачів, які вони можуть використовувати будь-яким способом, який вони вважають за потрібне.
Деякі кіберзлочинці нижчого рівня можуть вибрати одноразову покупку, навіть якщо вона значно дорожча (десятки тисяч доларів за складні комплекти), оскільки їм буде важче підключитися до оператора RaaS, якщо оператора затримають.
Партнерство RaaS
Кібератаки з використанням програм-вимагачів вимагають, щоб кожен залучений хакер мав унікальний набір здібностей.
У цьому сценарії група об’єднається та надасть різні внески в операцію. Для початку потрібні розробник коду програми-вимагача, хакери корпоративної мережі та англомовний учасник переговорів щодо викупу.
Залежно від своєї ролі та значення в кампанії, кожен учасник або партнер погодився б розділити заробіток.
Як виявити атаку RaaS?
Як правило, не існує 100% ефективного захисту від програм-вимагачів. Однак фішингові електронні листи залишаються основним методом, який використовується для здійснення атак програм-вимагачів.
Таким чином, компанія повинна провести навчання з питань фішингу, щоб співробітники мали найкраще розуміння того, як розпізнавати фішингові електронні листи.
На технічному рівні підприємства можуть мати спеціалізовану команду з кібербезпеки, яка займатиметься полюванням на загрози. Полювання за загрозами є дуже успішним методом виявлення та запобігання атакам програм-вимагачів.
У цьому процесі створюється теорія, використовуючи інформацію про вектори нападу. Передчуття та дані допомагають створити програму, яка могла б швидко визначити причину нападу та зупинити його.
Щоб стежити за неочікуваним виконанням файлів, підозрілою поведінкою тощо в мережі, використовуються інструменти пошуку загроз. Щоб виявити спроби атак програм-вимагачів, вони використовують годинник для індикаторів компрометації (IOC).
Крім того, використовується багато ситуаційних моделей пошуку загроз, кожна з яких адаптована до галузі цільової організації.
Приклади RaaS
Автори програм-вимагачів щойно усвідомили, наскільки вигідно будувати RaaS-бізнес. Крім того, було кілька організацій, що створюють загрози, які встановлюють операції RaaS для розповсюдження програм-вимагачів майже в кожному бізнесі. Ось кілька організацій RaaS:
- Темна сторона: це один із найсумніших провайдерів RaaS. Згідно з повідомленнями, ця банда стояла за атакою на Colonial Pipeline у травні 2021 року. Вважається, що DarkSide почалася в серпні 2020 року та досягла піку активності протягом перших кількох місяців 2021 року.
- Dharma: Dharma Ransomware спочатку з’явилася в 2016 році під назвою CrySis. Хоча протягом багатьох років існувало кілька варіантів Dharma Ransomware, Dharma вперше з’явилася у форматі RaaS у 2020 році.
- Лабіринт: Як і багато інших постачальників RaaS, Maze дебютував у 2019 році. Окрім шифрування даних користувачів, організація RaaS погрожувала оприлюднити дані, щоб принизити жертв. Maze RaaS офіційно припинив роботу в листопаді 2020 року, хоча причини цього все ще дещо туманні. Деякі вчені, однак, вважають, що одні й ті ж злочинці зберігаються під різними іменами, наприклад Егрегор.
- DoppelPaymer: Це було пов’язано з низкою подій, у тому числі в 2020 році проти лікарні в Німеччині, яка забрала життя пацієнта.
- Ryuk: Хоча RaaS був більш активним у 2019 році, вважається, що він існував принаймні в 2017 році. Багато охоронних компаній, включаючи CrowdStrike і FireEye, заперечують заяви деяких дослідників про те, що це обладнання розташоване в Північній Кореї.
- LockBit: як розширення файлу, яке організація використовує для шифрування файлів-жертв, «.abcd virus», який вперше з’явився у вересні 2019 року. Здатність LockBit автономно поширюватися цільовою мережею є однією з його особливостей. Для потенційних зловмисників це робить його бажаним RaaS.
- ЗЛОВА: Хоча існує кілька постачальників RaaS, це було найпоширенішим у 2021 році. Напад Kaseya, який стався в липні 2021 року і вплинув на щонайменше 1,500 компаній, був пов’язаний з REvil RaaS. Також вважається, що організація стоїть за нападом на виробника м’яса JBS USA у червні 2021 року, за який жертва мала заплатити викуп у розмірі 11 мільйонів доларів. Його також було визнано відповідальним за атаку програм-вимагачів на постачальника кіберстрахування CNA Financial у березні 2021 року.
Як запобігти атакам RaaS?
Хакери RaaS найчастіше використовують складні фішингові електронні листи, створені фахівцями, щоб виглядати справжніми, для розповсюдження шкідливого програмного забезпечення. Для захисту від експлойтів RaaS необхідний надійний підхід до управління ризиками, який підтримує постійне навчання кінцевих користувачів з питань безпеки.
Першим і найкращим захистом є створення бізнес-культури, яка інформує кінцевих користувачів про найновіші методи фішингу та небезпеки, які атаки програм-вимагачів становлять для їхніх фінансів і репутації. Ініціативи в цьому відношенні включають:
- Оновлення програмного забезпечення: програмне забезпечення-вимагач часто використовує операційні системи та програми. Щоб зупинити атаки програм-вимагачів, важливо оновлювати програмне забезпечення після випуску виправлень і оновлень.
- Будьте обережні, створюючи резервні копії та відновлюючи дані: Створення стратегії резервного копіювання та відновлення даних є першим і, мабуть, найважливішим кроком. Дані стають непридатними для користувачів після шифрування за допомогою програми-вимагача. Вплив шифрування даних зловмисником можна зменшити, якщо компанія має поточні резервні копії, які можна використовувати в процедурі відновлення.
- Запобігання фішингу: Фішинг через електронні листи є типовим методом атаки програм-вимагачів. Атаки RaaS можна запобігти, якщо є якийсь захист електронної пошти від фішингу.
- Багатофакторна аутентифікація: деякі зловмисники зловмисників використовують облікові дані, що передбачає використання викрадених паролів з одного сайту на іншому. Оскільки для отримання доступу все ще потрібен другий фактор, багатофакторна автентифікація зменшує вплив надмірного використання одного пароля.
- Безпека для кінцевих точок XDR: технології захисту кінцевих точок і пошуку загроз, як-от XDR, пропонують додатковий важливий рівень захисту від програм-вимагачів. Це пропонує розширені можливості виявлення та реагування, які допомагають зменшити небезпеку програм-вимагачів.
- Обмеження DNS: програмне забезпечення-вимагач часто використовує якийсь сервер керування (C2) для взаємодії з платформою оператора RaaS. DNS-запит майже завжди бере участь у зв’язку від зараженої машини до сервера C2. Організації можуть розпізнати, коли програми-вимагачі намагаються взаємодіяти з RaaS C2, і запобігти комунікації за допомогою рішення безпеки фільтрації DNS. Це може діяти як тип профілактики інфекції.
Майбутнє RaaS
У майбутньому напади RaaS стануть більш поширеними та популярними серед хакерів. Згідно з нещодавнім звітом, понад 60% усіх кібератак за останні 18 місяців були засновані на RaaS.
RaaS стає все більш популярним завдяки тому, наскільки ним просто користуватися та тому, що не потрібні технічні знання. Крім того, ми повинні підготуватися до збільшення RaaS-атак, спрямованих на життєво важливу інфраструктуру.
Це охоплює сфери охорони здоров'я, управління, транспорту та енергетики. Хакери вважають ці ключові галузі та установи більш уразливими, ніж будь-коли, ставлячи такі організації, як лікарні та електростанції, під приціл атак RaaS як ланцюжка поставок питання тривають до 2022 року.
Висновок
Підсумовуючи, навіть якщо Ransomware-as-a-Service (RaaS) є створенням і є однією з останніх небезпек для цифрових користувачів, надзвичайно важливо вжити певних профілактичних заходів для боротьби з цією загрозою.
Окрім інших основних заходів безпеки, ви також можете покластися на передові інструменти захисту від зловмисного програмного забезпечення, щоб додатково захистити вас від цієї загрози. На жаль, схоже, що RaaS поки що залишиться.
Вам знадобляться комплексні технології та план кібербезпеки для захисту від атак RaaS, щоб зменшити ймовірність успішного нападу RaaS.
залишити коментар