Ransomware-as-a-service (RaaS)

I de seneste år er der sket en stigning i antallet af ransomware-angreb, der inficerer computere og tvinger brugerne til at betale bøder for at få deres data tilbage. Efterhånden som nye ransomware-taktikker som f.eks. dobbelt afpresning viser sig at være vellykkede, kræver de kriminelle større løsesumbetalinger. Krav om løsepenge er i gennemsnit 5,3 millioner dollars i første halvår af 2021, en stigning på 518 %. i forhold til samme periode i 2020. Siden 2020 er den gennemsnitlige pris for løsepenge steget med 82 %, til 570.000 USD i første halvår af 2021 alene.

RaaS, eller Ransomware-as-a-Service, gør dette angreb endnu farligere ved at gøre det muligt for alle at iværksætte ransomware-angreb på enhver computer eller mobilenhed med få klik. Så længe de har en internetforbindelse, kan de tage kontrol over en anden computer, selv en computer, der bruges af din chef eller arbejdsgiver! Men hvad betyder RaaS egentlig? 

Hvad er Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-service (RaaS) er blevet en populær forretningsmodel i økosystemet for cyberkriminalitet. Ransomware-as-a-service giver cyberkriminelle mulighed for nemt at gennemføre ransomware-angreb uden at have kendskab til kodning eller hacking.

En RaaS-platform tilbyder en række funktioner, der gør det nemt for kriminelle at iværksætte et angreb med lidt eller ingen ekspertise. RaaS-leverandøren leverer malware-koden, som kunden (angriberen) kan tilpasse til sine behov. Efter tilpasningen kan angriberen udrulle den øjeblikkeligt via platformens kommando- og kontrolserver (C&C). Ofte er der ikke behov for en C&C-server; en kriminel kan gemme angrebsfilerne på en cloud-tjeneste som Dropbox eller Google Drive.

RaaS-leverandøren tilbyder også supporttjenester, som omfatter teknisk bistand til betalingsbehandling og dekrypteringsstøtte efter et angreb.

Ransomware-as-a-Service forklaret på almindeligt engelsk

Hvis du har hørt om Sofware-as-a-Service og ved, hvordan det fungerer, burde det være let at forstå RaaS, da det fungerer på samme niveau. PowerDMARC er også en SaaS-platform, da vi påtager os rollen som problemløsere for globale virksomheder, der hjælper dem med at autentificere deres domæner uden manuel indsats eller menneskeligt arbejde. 

 

Det er præcis, hvad RaaS er. Teknisk dygtige ondsindede trusselsaktører på internettet danner et konglomerat, der opererer som en ulovlig virksomhed (som regel sælger deres tjenester på det mørke net) og sælger ondsindede koder og vedhæftede filer, der kan hjælpe enhver på internettet med at inficere ethvert system med ransomware. De sælger disse koder til angribere, som ikke ønsker at udføre den mere vanskelige og tekniske del af arbejdet selv og i stedet søger tredjeparter, der kan hjælpe dem. Når angriberen har købt koderne, kan han fortsætte med at inficere ethvert system. 

Hvordan fungerer Ransomware-as-a-Service?

Denne form for indtjeningsmodel har for nylig vundet stor popularitet blandt cyberkriminelle. Hackere implementerer ransomware på et netværk eller system, krypterer data, spærrer adgangen til filer og kræver en løsesum for dekrypteringsnøgler. Betalingen sker typisk i bitcoin eller andre former for kryptovaluta. Mange ransomware-familier kan kryptere data gratis, hvilket gør deres udvikling og udbredelse omkostningseffektiv. Angriberen opkræver kun penge, hvis ofrene betaler; ellers tjener de ingen penge på det. 

De fire RaaS-indtægtsmodeller:

Selv om det kan være muligt at bygge ransomware fra bunden ved hjælp af et botnet og andre frit tilgængelige værktøjer, har cyberkriminelle en nemmere mulighed. I stedet for at risikere at blive fanget ved at bygge deres værktøj fra bunden kan kriminelle abonnere på en af fire grundlæggende RaaS-indtægtsmodeller: 

  • Affiliate-programmer
  • Månedlige abonnementer
  • Salg i store mængder
  • Hybrid salg af abonnementer og bulkvarer

Det mest almindelige er et modificeret affiliateprogram, fordi affilierede har mindre overhead end professionelle cyberkriminelle, som ofte sælger malware-tjenester på undergrundsfora. Affiliates kan tilmelde sig for at tjene penge ved at promovere kompromitterede websteder med links i spammails, der over tid sendes til millioner af ofre. Derefter skal de kun betale, når de modtager løsepenge fra deres ofre.

Hvorfor er RaaS farlig?

RaaS gør det muligt for cyberkriminelle at udnytte deres begrænsede tekniske muligheder til at drage fordel af angreb. Hvis en cyberkriminel har problemer med at finde et offer, kan han sælge offeret til en virksomhed (eller flere virksomheder).

Hvis en cyberkriminel finder det udfordrende at angribe online-mål, er der nu organisationer, der vil sælge ham sårbare mål, som han kan udnytte. I det væsentlige kan alle og enhver iværksætte et ransomware-angreb fra enhver enhed uden brug af sofistikerede metoder ved at outsource deres indsats gennem en tredjepartstjenesteudbyder, hvilket gør hele processen ubesværet og tilgængelig.

Hvordan forhindrer man ransomware-as-a-service-eksperter?

I et ransomware-as-a-service-angreb udlejer hackere deres værktøjer til andre kriminelle, som betaler for at få adgang til den kode, der hjælper dem med at inficere ofrenes computere med ransomware. Sælgerne, der bruger disse værktøjer, bliver betalt, når deres kunder genererer indtægter fra de inficerede ofre.

Ved at følge disse trin kan du forhindre ransomware-as-a-service-angreb:

1. Kend angrebsmetoderne

Der er flere forskellige måder, hvorpå ransomware kan inficere din organisation. Den bedste måde at beskytte dig mod angreb på er at vide, hvordan de udføres. Ved at vide, hvordan du bliver angrebet, kan du fokusere på, hvilke sikkerhedssystemer og beskyttelser du har brug for, i stedet for blot at installere antivirusprogrammer og krydse fingre. 

Phishing-e-mails er en almindelig vej for mange cyberangreb. Derfor skal medarbejderne være opmærksomme på, at de ikke må klikke på indlejrede links eller åbne vedhæftede filer fra ukendte afsendere. Regelmæssig gennemgang af virksomhedens politikker vedrørende vedhæftede filer i e-mails kan hjælpe med at forhindre infektion med phishing-svindel og andre metoder til levering af malware som makrovirus og trojanere.

2. Brug en pålidelig systemsikkerhedssuite

Sørg for, at din computer altid har opdateret sikkerhedssoftware installeret. Hvis du ikke har et antivirusprogram, bør du overveje at installere et med det samme. Antivirusprogrammer kan opdage skadelige filer, før de når frem til deres målcomputere, og dermed forhindre, at der sker skade.

3. Sikkerhedskopier alt regelmæssigt

Hvis du har alle dine oplysninger sikkerhedskopieret, kan du forhindre tab af vigtige oplysninger, hvis dit system bliver inficeret med malware eller ransomware. Men hvis du bliver ramt af virus- eller malwareangreb, er der stor sandsynlighed for, at alle dine filer alligevel ikke bliver sikkerhedskopieret regelmæssigt - så sørg for at have flere sikkerhedskopier på forskellige steder, hvis en af dem skulle fejle!

4. Vælg beskyttelse mod phishing med e-mail-autentificering

Phishing-e-mails er ekstremt almindelige og potente angrebsvektorer i ransomware-operationer. Oftest bruger hackere e-mails til at forsøge at få ofrene til at klikke på ondsindede links eller vedhæftede filer, som derefter kan inficere deres computere med ransomware. 

Ideelt set bør du altid følge den mest opdaterede sikkerhedspraksis på markedet og kun downloade software fra pålidelige kilder for at undgå disse phishing-svindelnumre. Men lad os se det i øjnene, når du er en del af en organisation med flere ansatte, er det tåbeligt at forvente dette af hver enkelt af dine medarbejdere. Det er også udfordrende og tidskrævende at holde øje med deres aktiviteter på alle tidspunkter. Det er derfor, at implementere en DMARC-politik er en god måde at beskytte dine e-mails mod phishing-angreb på.

Lad os se, hvor DMARC indgår i RaaS' infektionslivscyklus: 

  • Angriber køber ondsindet vedhæftet fil med ransomware fra en RaaS-operatør 
  • Angriberen sender en phishing-e-mail, der udgiver sig for at være XYZ-selskab, med den købte vedhæftede fil til et intetanende offer 
  • Det imiterede domæne (XYZ inc.) har DMARC aktiveret, hvilket indleder en autentificeringsproces ved at verificere afsenderens identitet 
  • Hvis verifikationen mislykkes, anser offerets server e-mailen for at være skadelig og afviser den i henhold til den DMARC-politik, der er konfigureret af domæneejeren.

Læs mere om DMARC som første forsvarslinje mod ransomware her.

  • DNS-filtrering

Ransomware bruger kommando- og kontrolservere (C2) til at kommunikere med RaaS-operatørernes platform. En DNS-forespørgsel kommunikeres ofte fra et inficeret system til C2-serveren. Organisationer kan bruge en sikkerhedsløsning med DNS-filtrering til at registrere, når ransomware forsøger at kommunikere med RaaS C2 og blokere transmissionen. Dette kan fungere som en mekanisme til forebyggelse af infektioner. 

Konklusion

Mens Ransomware-as-a-Service (RaaS) er en af de nyeste trusler mod digitale brugere, er det vigtigt at vedtage visse forebyggende foranstaltninger for at bekæmpe denne trussel. For at beskytte dig mod dette angreb kan du bruge effektive antimalware-værktøjer og e-mail-sikkerhedsprotokoller som f.eks. en kombination af DMARC, SPF og DKIM for at sikre alle forretninger tilstrækkeligt.