Фраза дня: вымогатель как услуга

Что такое программа-вымогатель как услуга (ransomware as a service - RaaS)?
Программа-вымогатель как услуга (RaaS) - это вредоносное ПО с оплатой по факту использования. Он создан для вымогательства украденных или зашифрованных данных, известного как программы-вымогатели.

Автор программы-вымогателя делает программное обеспечение доступным для клиентов, называемых аффилированными лицами, которые используют программное обеспечение для удержания данных людей в заложниках, не обладая достаточными техническими навыками. Использование RaaS позволяет аффилированным лицам войти в сферу практики вымогательства, которая ранее была исключительной для самих авторов.

По мнению автора вредоносного ПО, эта бизнес-модель позволяет увеличивать доходы от программного обеспечения с меньшим личным риском, чем при его использовании. Предложение их программного обеспечения другим исключает их из последнего преступления, поскольку другой выполняет акт выкупа.

Как и сама программа-вымогатель, RaaS обычно является преступным мероприятием, которое почти всегда является незаконным в любой точке мира.

Как работает программа-вымогатель как услуга?
RaaS - это предоставление программ-вымогателей в рамках модели «программное обеспечение как услуга» (SaaS). На вершине организационной иерархии находится оператор RaaS. Это группа, которая разрабатывает полезную нагрузку программы-вымогателя, которая шифрует пользовательские данные.

Оператор RaaS также управляет всей внутренней инфраструктурой для запуска кампании вымогателей. Это включает в себя код программы-вымогателя, портал, который позволяет потенциальным клиентам регистрироваться и использовать службу и службу поддержки для поддержки кампаний. Операторы RaaS с полным спектром услуг также обрабатывают платежи от программ-вымогателей - обычно через криптовалюту, такую ​​как биткойн, - и предоставляют ключи дешифрования жертвам, которые платят выкуп. Кроме того, операторы RaaS активно рекламируют свои услуги на различных подпольных форумах в даркнете.

Для RaaS существует несколько различных бизнес-моделей и моделей дохода. В качестве модели SaaS RaaS предлагается потенциальным пользователям по ежемесячной подписке или в качестве единовременной платы. Другой распространенный способ работы операторов RaaS - партнерская модель. В партнерской модели RaaS оператор RaaS берет заранее определенный процент от каждой выплаты выкупа жертвами, которые платят выкуп.

Программы-вымогатели и программы-вымогатели как услуга
Программы-вымогатели - это фактическая полезная нагрузка вредоносного ПО, которая используется для шифрования данных системы жертвы. Как только система заражена программой-вымогателем, жертва требует выкупа. Если и когда жертва платит выкуп, злоумышленник предоставляет ключ дешифрования для восстановления зашифрованных данных.

Программы-вымогатели - это то, что операторы RaaS предоставляют в качестве услуги. Один злоумышленник может разработать собственный код вымогателя, но его охват ограничен.

RaaS расширяет доступность и потенциальный охват программ-вымогателей. Вместо одной группы, использующей код программы-вымогателя для атаки на жертв, многие группы злоумышленников могут использовать RaaS для эксплуатации жертв с помощью заражения программой-вымогателем.

Примеры программ-вымогателей как услуги
В последние годы авторы программ-вымогателей обнаружили прибыльный характер выполнения операции RaaS. И не было недостатка в группах злоумышленников, создающих операции RaaS для распространения программ-вымогателей почти во всех отраслях. Вот некоторые из этих поставщиков RaaS:

• DarkSide. Среди самых известных операторов RaaS - DarkSide. Сообщается, что эта группа несет ответственность за атаку на колониальный трубопровод в мае 2021 года. Считается, что DarkSide начал свою работу в августе 2020 года и был особенно активен в первые несколько месяцев 2021 года.
• Dharma . Программа-вымогатель Dharma впервые появилась в 2016 году и первоначально была известна как CrySis. На протяжении многих лет было много вариантов Dharma Ransomware, но именно в 2020 году Dharma появилась в модели RaaS.
• DoppelPaymer . DoppelPaymer был связан с несколькими инцидентами, в том числе с инцидентом против больницы в Германии в 2020 году, который привел к смерти пациента.
• LockBit. LockBit впервые появился в сентябре 2019 года как «вирус .abcd» - расширение файла, которое группа использует для шифрования файлов жертвы. Среди атрибутов LockBit - его способность автоматически распространяться в целевой сети. Это делает его привлекательным RaaS для потенциальных злоумышленников.
• Maze. Как и многие другие операторы RaaS, Maze появился в 2019 году. Помимо простого шифрования пользовательских данных, группа RaaS также пыталась опозорить жертв, угрожая опубликовать данные. По причинам, которые остаются несколько неясными, Maze RaaS официально закрылся в ноябре 2020 года. Однако некоторые исследователи считают, что те же преступники продолжали действовать под другим именем, например, Egregor.
• REvil. Хотя существует несколько операторов RaaS, ни один из них не был настолько распространен в 2021 году, как REvil. REvil RaaS был замешан в атаке на Kaseya, которая затронула как минимум 1500 организаций в июле 2021 года. Группа также предположительно несет ответственность за нападение на производителя мяса JBS USA в июне 2021 года, в котором жертва заплатила выкуп в размере 11 миллионов долларов. В марте 2021 года было установлено, что REvil стоит за атакой программ-вымогателей на киберстраховочную компанию CNA Financial.
• Ryuk. Считается, что Ryuk был активен как минимум с 2017 года, хотя RaaS был более активен в 2019 году. Некоторые исследователи утверждали, что группа базировалась в Северной Корее, что было опровергнуто несколькими охранными фирмами, включая CrowdStrike и FireEye.

Как предотвратить атаки с использованием программы-вымогателя как услуги
Вот несколько рекомендаций, которые помогут снизить риск программ-вымогателей:

• Обеспечьте резервное копирование и восстановление данных. Первым и, пожалуй, наиболее важным шагом является наличие плана резервного копирования и восстановления данных. Программа-вымогатель шифрует данные, делая их недоступными для пользователей. Если в организации есть актуальные резервные копии, которые можно использовать в операции восстановления, эффект шифрования данных злоумышленником может быть уменьшен.
• Обновление программного обеспечения. Программы-вымогатели часто используют известные уязвимости в приложениях и операционных системах. Обновление программного обеспечения по мере выхода исправлений и обновлений необходимо для предотвращения атак программ-вымогателей.
• Многофакторная аутентификация. Некоторые злоумышленники-вымогатели используют заполнение учетных данных, когда пароли, украденные с одного сайта, повторно используются на другом, для доступа к учетным записям пользователей. Многофакторная аутентификация снижает эффект от одного повторно используемого пароля, поскольку для получения доступа по-прежнему необходим второй фактор.
• Защита от фишинга. Распространенным вектором атаки программ-вымогателей является фишинг электронной почты. Наличие некоторой формы защиты электронной почты от фишинга может потенциально предотвратить атаки RaaS.
• DNS-фильтрация. Программа-вымогатель часто взаимодействует с платформой оператора RaaS с помощью некоторой формы сервера управления и контроля (C2). Связь зараженной системы с сервером C2 почти всегда связана с запросом DNS. С помощью службы безопасности DNS-фильтрации организации могут определить, когда программа-вымогатель пытается связаться с RaaS C2, и заблокировать связь. Это может служить одной из форм защиты от инфекции.
• Безопасность конечных точек XDR. Еще одним важным уровнем защиты от программ-вымогателей являются технологии защиты конечных точек и поиска угроз, такие как XDR. Это обеспечивает расширенные возможности обнаружения и реагирования, которые могут ограничить риски программ-вымогателей.