Что такое программа-вымогатель, как услуга (RaaS)?


Программа-вымогатель, как услуга (RaaS) — это вредоносное ПО с оплатой по факту использования. Он создан для вымогательства над украденными или зашифрованными данными.

Автор программы- вымогателя делает программное обеспечение доступным для клиентов, называемых аффилированными лицами, которые используют программное обеспечение для удержания данных людей в заложниках, не обладая достаточными техническими навыками. Использование RaaS позволяет аффилированным лицам войти в сферу практики вымогательства, которая ранее была исключительной для самих авторов.

По мнению автора вредоносного ПО , эта бизнес-модель позволяет им масштабировать свои доходы от программного обеспечения с меньшим личным риском, чем при его использовании самостоятельно. Предлагая свое программное обеспечение другим, они исключаются из финального преступления, заставляя другого совершить акт выкупа.

Как и сама программа-вымогатель, RaaS обычно является преступным мероприятием, которое почти всегда является незаконным в любой точке мира.

Как работает программа-вымогатель, как услуга?
RaaS — это предоставление программ-вымогателей в рамках модели « программное обеспечение как услуга» ( SaaS ). На вершине организационной иерархии находится оператор RaaS. Это группа, которая разрабатывает полезную нагрузку программы-вымогателя, которая шифрует пользовательские данные.

Оператор RaaS также управляет всей внутренней инфраструктурой для запуска кампании вымогателей. Это включает в себя код программы-вымогателя, портал, который позволяет потенциальным клиентам регистрироваться и использовать службу и службу поддержки для поддержки кампаний. Операторы RaaS с полным спектром услуг также обрабатывают платежи от программ-вымогателей — обычно через криптовалюту, такую как биткойны, — и предоставляют ключи дешифрования жертвам, которые платят выкуп. Кроме того, операторы RaaS активно рекламируют свои услуги на различных подпольных форумах в даркнете.

Для RaaS существует несколько различных бизнес-моделей и моделей дохода. В качестве модели SaaS RaaS предлагается потенциальным пользователям по ежемесячной подписке или в качестве единовременной платы. Другой распространенный способ работы операторов RaaS — партнерская модель. В партнерской модели RaaS оператор RaaS берет заранее определенный процент от каждой выплаты выкупа жертвами, которые платят выкуп.


Программы-вымогатели, как услуга
Программы-вымогатели — это фактическая полезная нагрузка вредоносного ПО, которая используется для шифрования данных системы жертвы. Как только система заражена программой-вымогателем, жертва требует выкупа. Если и когда жертва платит выкуп, злоумышленник предоставляет ключ дешифрования для восстановления зашифрованных данных.

Программы-вымогатели — это то, что операторы RaaS предоставляют в качестве услуги. Один злоумышленник может разработать собственный код вымогателя, но его охват ограничен.

RaaS расширяет доступность и потенциальный охват программ-вымогателей. Вместо одной группы, использующей код программы-вымогателя для атаки на жертв, многие группы злоумышленников могут использовать RaaS для эксплуатации жертв с помощью заражения программой-вымогателем.

Примеры программ-вымогателей, как услуги
В последние годы авторы программ-вымогателей обнаружили прибыльный характер выполнения операции RaaS. И не было недостатка в группах злоумышленников, создающих операции RaaS для распространения программ-вымогателей почти во всех отраслях. Вот некоторые из этих поставщиков RaaS:

DarkSide . Среди самых известных операторов RaaS — DarkSide . Сообщается, что эта группа несет ответственность за атаку на колониальный трубопровод в мае 2021 года. Считается, что DarkSide начал свою работу в августе 2020 года и был особенно активен в первые несколько месяцев 2021 года.
Дхарма . Программа-вымогатель Dharma впервые появилась в 2016 году и первоначально была известна как CrySis. На протяжении многих лет было много вариантов Dharma Ransomware, но именно в 2020 году Dharma появилась в модели RaaS.
ДоппельПаймер . DoppelPaymer был связан с несколькими инцидентами, в том числе с инцидентом против больницы в Германии в 2020 году, который привел к смерти пациента.
LockBit . LockBit впервые появился в сентябре 2019 года как «вирус .abcd» — расширение файла, которое группа использует для шифрования файлов жертвы. Среди атрибутов LockBit — его способность автоматически распространяться в целевой сети. Это делает его привлекательным RaaS для потенциальных злоумышленников.
Лабиринт. Как и многие другие операторы RaaS, Maze появился в 2019 году. Помимо простого шифрования пользовательских данных, группа RaaS также пыталась опозорить жертв, угрожая опубликовать данные. По причинам, которые остаются несколько неясными, Maze RaaS официально закрылся в ноябре 2020 года. Однако некоторые исследователи считают, что те же преступники продолжали действовать под другим именем, например, Egregor .
REvi l. Хотя существует несколько операторов RaaS, ни один из них не был настолько распространен в 2021 году, как REvil. REvil RaaS был замешан в атаке на Касея , которая затронула не менее 1500 организаций в июле 2021 года. Группа также предположительно несет ответственность за нападение на производителя мяса JBS USA в июне 2021 года, в котором жертва заплатила выкуп в размере 11 миллионов долларов. В марте 2021 года было установлено, что REvil стоит за атакой программ-вымогателей на киберстраховочную компанию CNA Financial .
Рюк. Считается, что Рюк был активен по крайней мере с 2017 года, хотя RaaS был более активен в 2019 году. Некоторые исследователи утверждали, что группа базировалась в Северной Корее, что было опровергнуто несколькими охранными фирмами, включая CrowdStrike и FireEye.
Как предотвратить атаки с использованием программы-вымогателя как услуги
Вот несколько рекомендаций, которые помогут снизить риск программ-вымогателей :

Обеспечьте резервное копирование и восстановление данных. Первым и, пожалуй, наиболее важным шагом является наличие плана резервного копирования и восстановления данных. Программа-вымогатель шифрует данные, делая их недоступными для пользователей. Если в организации есть актуальные резервные копии, которые можно использовать в операции восстановления, эффект шифрования данных злоумышленником может быть уменьшен.
Обновите программное обеспечение . Программы-вымогатели часто используют известные уязвимости в приложениях и операционных системах. Обновление программного обеспечения по мере выхода исправлений и обновлений необходимо для предотвращения атак программ-вымогателей.
Многофакторная аутентификация . Некоторые злоумышленники-вымогатели используют заполнение учетных данных, когда пароли, украденные с одного сайта, повторно используются на другом, для доступа к учетным записям пользователей. Многофакторная аутентификация снижает эффект от одного повторно используемого пароля, поскольку для получения доступа по-прежнему необходим второй фактор.
Защита от фишинга. Распространенным вектором атаки программ-вымогателей является фишинг электронной почты. Наличие некоторой формы защиты электронной почты от фишинга потенциально может предотвратить атаки RaaS.
DNS-фильтрация. Программа-вымогатель часто взаимодействует с платформой оператора RaaS с помощью некоторой формы сервера управления и контроля (C2). Связь зараженной системы с сервером C2 почти всегда связана с запросом DNS. С помощью службы безопасности DNS-фильтрации организации могут определить, когда программа-вымогатель пытается связаться с RaaS C2, и заблокировать связь. Это может служить одной из форм защиты от инфекции.
Безопасность конечных точек XDR. Еще один важный уровень защиты от программ-вымогателей — это безопасность конечных точек и технологии поиска угроз, такие как XDR . Это обеспечивает расширенные возможности обнаружения и реагирования, которые могут ограничить риски программ-вымогателей.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *