Co to jest ransomware-as-a-service (RaaS)?
Trend Micro: zmniejszanie ryzyka związanego z oprogramowaniem ransomware dzięki proaktywnemu zarządzaniu powierzchnią ataku
Ransomware as a Service (RaaS)
Ransomware as a service (RaaS) to model biznesowy cyberprzestępczości, który obejmuje sprzedaż lub dzierżawę oprogramowania ransomware nabywcom, zwanym podmiotami stowarzyszonymi. RaaS można uznać za jeden z głównych powodów gwałtownego rozprzestrzeniania się ataków ransomware, ponieważ ułatwiło to różnym cyberprzestępcom — nawet tym, którzy mają niewielkie umiejętności techniczne i wiedzę na temat amunicji do wdrażania ransomware w ich celach.
Jak działa RaaS?
Ransomware-as-a-Service (RaaS) działa podobnie do modelu oprogramowania jako-a-Service (SaaS), w którym dostęp do oprogramowania można uzyskać online na zasadzie subskrypcji. Model RaaS również ewoluuje na swój własny sposób, a ten w pełni funkcjonalny i niezależny ekosystem rozwija się w podziemiu. Jednym z kluczowych graczy w tym modelu biznesowym są operatorzy, którzy opracowują i dystrybuują ransomware, często pracując w ustrukturyzowanych grupach z wyznaczonymi rolami, takimi jak liderzy, programiści i administratorzy systemów. Bardziej zaawansowane grupy mogą również pełnić inne role, takie jak testerzy penetracji, analitycy ofiar i negocjatorzy w celu dopracowania ataków.
Niektóre zadania są zlecane na zewnątrz lub uzyskiwane za pośrednictwem programów partnerskich, takich jak Access-as-a-Service (AaaS), które zapewniają punkty dostępu do organizacji docelowych. Wykwalifikowani testerzy penetracji mogą nie mieć narzędzi ransomware i zamiast tego działać jako podmioty stowarzyszone, korzystając z infrastruktury RaaS do przeprowadzania ataków.
Grupa przestępcza RaaS najpierw opracowuje lub nabywa oprogramowanie ransomware, a następnie rekrutuje podmioty stowarzyszone za pośrednictwem forów, telegramów lub sieci osobistych, czasami inwestując do 1 miliona USD w rekrutację. Po wdrożeniu podmioty stowarzyszone przeprowadzają ataki niezależnie.
RaaS przynosi korzyści obu stronom — operatorzy czerpią korzyści z płatności na rzecz podmiotów stowarzyszonych, podczas gdy podmioty stowarzyszone uzyskują dostęp do oprogramowania ransomware bez kosztów jego rozwoju. Modele przychodów różnią się, w tym subskrypcje, opłaty jednorazowe, udział w zyskach lub marketing partnerski. Pozwala to operatorom skupić się na poprawie oprogramowania ransomware, podczas gdy podmioty stowarzyszone zajmują się jego realizacją, dzięki czemu RaaS jest wysoce wyspecjalizowanym i rentownym modelem cyberprzestępczości.
Ten model jest również wdrażany przez społeczność cyberprzestępczą, a najważniejszym przykładem tego modelu jest „RaaS — ransomware jako usługa”. W przeszłości ataki ransomware były przeprowadzane głównie przez samych programistów. W przeciwieństwie do RaaS programiści ransomware sami nie przeprowadzają ataków, ale zbierają tzw. „oddziały”, aby je przeprowadzić i dostarczyć im ransomware. Jeśli atak ze strony filii zakończy się sukcesem i okup zostanie zapłacony, zyski zostaną podzielone między dewelopera ransomware a filię jako opłata za sukces.
Przykłady RaaS
LockBit
LockBit to najbardziej aktywna grupa ransomware na świecie. W latach 2022-2023 firma była odpowiedzialna za około 20-30% wszystkich wykryć ransomware. W ostatnim wyraźnym ataku popyt na okup wzrósł nawet o 50 mln USD.
LockBit 2.0 twierdzi, że posiada jedną z najszybszych technik szyfrowania wśród innych ransomware. Pokazuje również podobieństwa z prominentnymi rodzinami ransomware, Ryukem i Egregorem.
Akira
Akira to nowo powstała grupa ransomware, która pojawiła się w marcu 2023 r. Uważa się, że jest on powiązany z Conti (co jest obecnie nieaktywne), która kiedyś była jedną z dwóch głównych grup ransomware wraz z LockBit.
Według badania Trend Micro Akira spowodowała 107 incydentów w ciągu pięciu miesięcy od 1 kwietnia 2023 r., przy czym 85,9% tych incydentów miało miejsce w Ameryce Północnej.
BlackCat
Do marca 2022 r. BlackCat z powodzeniem zainfekowała co najmniej 60 organizacji. W 2023 r. sławne ofiary BlackCat obejmowały Reddit i NextGen Healthcare. Początkowo zyskała popularność jako pierwsza profesjonalna rodzina ransomware stworzona w języku programowania Rust, który jest znany jako bezpieczny i zdolny do równoczesnego przetwarzania.
Teraz słyną z techniki potrójnego wyłudzania. Oprócz ujawnienia wyekstrahowanych danych, atakujący ransomware, którzy wykorzystują potrójne wymuszenia, groziją przeprowadzeniem rozproszonych ataków typu odmowa usługi (DDos) na infrastrukturę ofiar, aby skłonić ich do zapłaty okupu.
Łańcuch infekcji ransomware BlackCat zaobserwowany w 2022 r.
Black Basta
Black Basta to grupa ransomware, która została zidentyfikowana po raz pierwszy w kwietniu 2022 r. i podobnie jak Akira, podejrzewa się, że jest powiązana z Conti. Oprócz RaaS Black Basta aktywnie rozwija podział pracy w ramach ataków, takich jak pozyskiwanie informacji uwierzytelniających o dostępie do sieci firmowej na podziemnych forach w zamian za część zysków z ataków ransomware. Ponadto Black Basta opracowuje projekty dla systemu Linux i można zauważyć, że starają się rozszerzyć zakres szyfrowania.
Black Basta’s infection chain
Jak RaaS przyciąga podmioty stowarzyszone? - Studium przypadku LockBit
Dlaczego LockBit, największa grupa ransomware, była w stanie przyciągnąć tak wielu partnerów i zbudować RaaS na dużą skalę? Główne powody to wysoki współczynnik udziału w zyskach i użyteczność.
Wysoki współczynnik udziału w zyskach
Firma LockBit zaoferowała swoim partnerom bardzo atrakcyjny udział w przychodach, zwracając 80% uzyskanych przez nich pieniędzy. Według oświadczenia EUROPOL całkowita kwota szkód spowodowanych przez LockBit jest równa kilku miliardom euro, więc możemy sobie wyobrazić, że zarobki podmiotów stowarzyszonych zaangażowanych w LockBit również były ogromne. W przeszłości LockBit żądał okupu w wysokości do 70 milionów dolarów, a jeśli nawet jeden taki atak zakończy się powodzeniem, podmiot stowarzyszony będzie w stanie uzyskać pieniądze, których zwykli ludzie nie mogą uzyskać.
Użyteczność
LockBit cieszył się popularnością wśród podmiotów stowarzyszonych, ponieważ został zaprojektowany z myślą o RaaS. Na przykład firma opracowała i utrzymała „przyjazny dla użytkownika interfejs”, który ułatwia wybór różnych opcji podczas montażu końcowego programu ataku, zmniejszając przeszkody techniczne dla użytkowników RaaS w popełnianiu przestępstw.
Wyposażony w te elementy, LockBit aktywnie rekrutował podmioty stowarzyszone i rozszerzał swój wpływ, ale teraz podjął wyzwanie, które jest unikalne dla RaaS. Potwierdziliśmy na przykład, że infrastruktura LockBit jest niestabilna i że nie jest możliwe wykorzystanie danych w miejscu wycieku, a w takich przypadkach filiom trudno jest przeprowadzić szantaż niezbędny do skutecznego ataku. Ponadto w lutym 2024 r. niektórzy członkowie LockBit zostali aresztowani, a ich serwery i inna infrastruktura zostały zniszczone, a takie incydenty mogą również mieć wpływ na odejście podmiotów stowarzyszonych. Innymi słowy kluczem do sukcesu RaaS jest zdobycie zaufania i zaufania podmiotów stowarzyszonych, ale jeśli coś się zepsuje, RaaS nie będzie już opłacalny.
Harmonogram działań LockBit
Jak chronić systemy przed ransomware
Aby przedsiębiorstwa mogły chronić się przed atakami ransomware, warto opracować plany obrony przed ransomware. Mogą one być oparte na zasadach bezpieczeństwa, takich jak te z Centrum Bezpieczeństwa Internetowego (CIS) i Narodowego Instytutu Standardów i Technologii (NIST). Wytyczne te mogą pomóc w ustalaniu priorytetów i zarządzaniu zasobami w celu zapobiegania, obrony i odzyskiwania danych po ransomware
Oto niektóre z najlepszych praktyk z tych ram:
Audyt zdarzeń i inwentaryzacja
- Dostępne zasoby i dane
- Autoryzowane i nieautoryzowane urządzenia i oprogramowanie
- Zdarzenia i incydenty związane z bezpieczeństwem
Zarządzaj i śledź następujące elementy
- Konfiguracje sprzętu i oprogramowania
- Uprawnienia administratora i dostęp
- Aktywność w portach sieciowych, protokołach i usługach
- Urządzenia infrastruktury sieciowej, takie jak zapory sieciowe i routery oraz ich konfiguracje zabezpieczeń
Poprawiaj i aktualizuj oprogramowanie i aplikacje, regularnie wykonuj następujące czynności
- Oceny luk w zabezpieczeniach
- Poprawki lub wirtualne poprawki
- Aktualizacja wersji
Chroń systemy i odzyskuj dane, wdrażając następujące metody
- Środki ochrony danych, tworzenia kopii zapasowych i odzyskiwania danych
- Uwierzytelnianie wieloskładnikowe (MFA)
Zabezpieczaj i chroń warstwy
- Zasada obrony w głąb (DiD). Odbywa się to poprzez tworzenie wielu warstw ochrony przed potencjalnymi zagrożeniami. Jednym z przykładów jest blokowanie nieużywanych usług nie tylko na zaporze, ale także na rzeczywistych serwerach.
- Segmentacja sieci i zasada najmniejszych uprawnień. Przyznawanie uprawnień użytkownikom systemu, usługom i rolom ma kluczowe znaczenie.
- E-mail – analiza statyczna i dynamiczna. Oba te działania polegają na sprawdzaniu i blokowaniu złośliwych wiadomości e-mail.
- Najnowsza wersja rozwiązań zabezpieczających dla wszystkich warstw systemu. Warstwy te obejmują pocztę elektroniczną, punkty końcowe, sieć i sieć.
- Monitorowanie wczesnych oznak ataku. Identyfikacja wątpliwej obecności różnych narzędzi w systemie może zaoszczędzić organizacjom dużo czasu i wysiłku w zapobieganiu możliwym atakom.
- Zaawansowane technologie wykrywania. Technologie wykorzystujące sztuczną inteligencję i uczenie maszynowe zapewniają wzmocnioną ochronę.
Szkolenie i testowanie
- Ocena i szkolenie umiejętności w zakresie bezpieczeństwa
- Czerwone ćwiczenia zespołu i testy penetracyjne
Ochrona przed ransomware Trend Micro
W ubiegłym roku 83% organizacji doświadczyło wielu naruszeń, z których każde kosztowało 4,4 miliona dolarów, podczas gdy zmniejszenie narażenia na ryzyko przyniosło średnie oszczędności w wysokości 1,3 miliona dolarów.
Trend Vision One™ - Attack Surface Risk Management (ASRM) radykalnie zmniejsza ryzyko cybernetyczne dzięki ciągłemu wykrywaniu, ocenom w czasie rzeczywistym i zautomatyzowanemu łagodzeniu skutków w środowiskach chmurowych, hybrydowych lub lokalnych.