Ransomware-ul se referă la un tip de malware care criptează fișierele victimei, blocând efectiv accesul la date și aplicații până când se plătește o răscumpărare către atacator. Cu toate acestea, atacatorii contemporani folosesc adesea o strategie suplimentară. Hackerii creează copii ale datelor compromise și amenință să publice informațiile sensibile online, cu excepția cazului în care cererile lor de răscumpărare sunt îndeplinite. Această abordare duală adaugă un nivel suplimentar de complexitate și dificultăți pentru victime.
RaaS - transformarea Ransomware-ului într-un model de servicii
Ransomware-as-a-Service (RaaS) reprezintă cel mai recent model de servicii în lumea ransomware-ului. Similar altor oferte "as-a-service", hackerii neexperimentați pot beneficia acum de instrumente la cerere pentru activități malițioase. În loc să creeze și să implementeze propriul ransomware, li se oferă opțiunea de a plăti o taxă, de a selecta o țintă și de a lansa un atac folosind instrumente specializate furnizate de un prestator de servicii.
Acest model reduce semnificativ timpul și costurile necesare pentru a executa un atac ransomware, în special în identificarea noilor ținte. Intervalul mediu dintre infiltrarea unui atacator ransomware într-o rețea și criptarea fișierelor a scăzut sub 24 de ore.
Creatorii de ransomware pot obține ulterior de la clienți feedback detaliat cu privire la tehnicile care funcționează cel mai bine în diferite scenarii. Ei obțin informații în timp real cu privire la cât de bine se adaptează instrumentele de securitate cibernetică la noile tulpini și unde rămân vulnerabilități neacoperite.
Un kit RaaS poate include suport 24/7, recenzii ale utilizatorilor, forumuri și alte caracteristici identice cu cele oferite de furnizorii legitimi de SaaS. Prețul kit-urilor RaaS variază de la 40 de dolari pe lună la câteva mii de dolari - sume nesemnificative, având în vedere că cererea medie de răscumpărare în 2021 a fost de 6 milioane de dolari.
Modelul de venituri al Ransomware-as-a-Service (RaaS): impactul său într-o piață competitivă
Cu toate că are o natură ilicită, RaaS funcționează în mod similar cu afacerile legitime. Există 4 modele comune de venituri pentru RaaS:
- Abonament lunar pentru o taxă fixă;
- Programe de afiliere, care sunt la fel ca un model cu taxă lunară, dar cu un procent din profituri (în mod obișnuit între 20-30%) destinat dezvoltatorului ransomware-ului;
- Taxă unică de licență fără partajarea profiturilor;
- Partajare pură a profiturilor.
Aceasta este o piață extrem de competitivă, cu feedback de la utilizatori pe forumuri ale "dark web". Clienții nu sunt loiali, iar concurența stimulează creșterea calității (ceea ce este o veste proastă pentru victime). În cazul în care un serviciu nu satisface, clienții nu vor ezita să încerce alt grup RaaS. Având mai multe afilieri le extinde opțiunile și le sporește șansele de a obține profit din activitățile lor infracționale cibernetice. Deoarece toți afiliații caută cel mai bun grup, competitivitatea între grupurile RaaS poate crește.
Operatorii RaaS avansați oferă portaluri care permit abonaților să monitorizeze stadiul atacurilor, plățile totale, numărul total de fișiere criptate și alte informații despre țintele lor. Un afiliat poate simplu să se autentifice în portalul RaaS, să-și creeze un cont, să plătească cu Bitcoin, să introducă detalii despre tipul de malware pe care doresc să-l creeze și să facă clic pe butonul de trimitere. Abonații au acces la suport, comunități, documentații, actualizări de funcționalități și alte avantaje identice cu cele primite de abonații la produsele SaaS legitime.
Cazuri Concrete: cum au impactat peisajul cibernetic atacurile Ransomware-as-a-Service
Atacurile care utilizează Ransomware-as-a-Service (RaaS) s-au răspândit în mod semnificativ în ultimii ani, evidențiate de câteva exemple:
- DarkSide: Un grup de ransomware care comercializează servicii RaaS. Atacul asupra Colonial Pipeline din 2021 a fost atribuit acestui grup;
- REvil: Furnizat ca serviciu RaaS, REvil a fost folosit în atacul de ransomware împotriva furnizorului de servicii IT Kaseya în 2021;
- Dharma: O variantă de ransomware oferită ca serviciu, utilizată în numeroase atacuri începând cu anul 2016.
RaaS reduce semnificativ barierele de intrare pentru această formă profitabilă de criminalitate cibernetică — oricine cu un computer și o conexiune la internet poate desfășura un atac de ransomware. Din acest motiv, atacurile RaaS vor continua probabil să se înmulțească în anii următori.
Achiziționarea și distribuirea Ransomware-as-a-Service
La fel ca orice serviciu în cloud, serviciile Ransomware-as-a-Service (RaaS) sunt achiziționate și accesate pe internet. RaaS este în mod obișnuit distribuit prin intermediul forumurilor de malware de pe dark web. („Dark web” reprezintă o parte a internetului care poate fi accesată doar folosind un browser Tor, care ascunde locația și adresa IP a utilizatorului.)
Apărarea împotriva Ransomware-as-a-Service (RaaS)
Pentru a mitiga eficient atacurile de ransomware, trebuie să identificăm și să abordăm proactiv vulnerabilitățile de securitate. Utilizarea serviciilor de pentesting (proces de evaluare activă a securității unui sistem, rețele sau aplicații, implicând simularea atacurilor cibernetice pentru identificarea și remedierea potențialelor vulnerabilități) poate îmbunătăți protecția împotriva acestor tipuri de atacuri. Pentru o abordare continuă și cuprinzătoare, în special pentru suprafețe de atac dinamice precum aplicațiile web, este foarte recomandată colaborarea cu un furnizor de servicii de testare a penetrării (PTaaS).
Instruirea în securitate pentru utilizatori este, de asemenea, un element de luat în calcul pentru protejarea împotriva atacurilor de ransomware. Instruirea angajaților, colaboratorilor și altor utilizatori pentru a identifica atacurile de tip phishing și cele de inginerie socială contribuie semnificativ la reducerea probabilității unui atac RaaS reușit.
Back-up-urile regulate de date reprezintă o altă măsură eficientă, despre care am mai discutat într-un articol anterior. Ransomware-ul poate bloca accesul la datele organizației, însă în multe cazuri, aceasta poate restaura datele dintr-un backup în loc să plătească răscumpărarea pentru decriptare sau să reconstruiască întreaga infrastructură IT de la zero.