Ransomware-as-a-service (RaaS)

De laatste jaren is het aantal ransomware-aanvallen toegenomen, waarbij computers worden besmet en gebruikers worden gedwongen geld te betalen om hun gegevens terug te krijgen. Naarmate nieuwe ransomwaretactieken, zoals dubbele afpersing, succesvol blijken, eisen criminelen grotere losgeldbedragen. De eisen voor losgeld bedroegen gemiddeld 5,3 miljoen dollar in de eerste helft van 2021, een stijging van 518% ten opzichte van dezelfde periode in 2020. Sinds 2020, is de gemiddelde losgeld prijs gestegen met 82 procent, tot 570.000 dollar in de eerste helft van 2021 alleen.

RaaS, of Ransomware-as-a-Service, maakt deze aanval nog gevaarlijker door iedereen in staat te stellen met een paar klikken ransomware-aanvallen uit te voeren op elke computer of mobiel apparaat. Zolang ze een internetverbinding hebben, kunnen ze de controle over een andere computer overnemen, zelfs een computer die door uw baas of werkgever wordt gebruikt! Maar wat betekent RaaS nu precies? 

Wat is Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-service (RaaS) is een populair bedrijfsmodel geworden in het ecosysteem van cybercriminaliteit. Ransomware-as-a-service stelt cybercriminelen in staat gemakkelijk ransomware-aanvallen uit te voeren zonder dat enige kennis van coderen of hacken nodig is.

Een RaaS-platform biedt een reeks functies die het voor criminelen gemakkelijk maken om met weinig tot geen expertise een aanval uit te voeren. De RaaS-aanbieder levert de malwarecode, die de klant (aanvaller) kan aanpassen aan zijn behoeften. Na aanpassing kan de aanvaller deze direct inzetten via de command-and-control (C&C)-server van het platform. Vaak is er geen behoefte aan een C&C-server; een crimineel kan de aanvalsbestanden opslaan op een clouddienst zoals Dropbox of Google Drive.

De RaaS-aanbieder biedt ook ondersteunende diensten aan, waaronder technische bijstand bij de verwerking van betalingen en ondersteuning bij de ontcijfering na een aanval.

Ransomware-as-a-Service uitgelegd in gewoon engels

Als u hebt gehoord over Sofware-as-a-Service en weet hoe het werkt, zou het begrijpen van RaaS een no brainer moeten zijn aangezien het op een vergelijkbaar niveau werkt. PowerDMARC is ook een SaaS platform omdat wij de rol van probleemoplosser op ons nemen voor bedrijven wereldwijd en hen helpen hun domeinen te verifiëren zonder handmatige inspanning of menselijke arbeid. 

 

Dit is precies wat RaaS is. Technisch begaafde kwaadwillende dreigingsactoren vormen via het internet een conglomeraat dat opereert in de vorm van een illegaal bedrijf (meestal verkopen ze hun diensten via het dark web), dat kwaadaardige codes en bijlagen verkoopt waarmee iedereen via het internet een systeem kan besmetten met ransomware. Zij verkopen deze codes aan aanvallers die het moeilijkere en technischere deel van het werk niet zelf willen doen en in plaats daarvan op zoek zijn naar derden die hen kunnen helpen. Zodra de aanvaller de aankoop heeft gedaan, kan hij doorgaan met het infecteren van elk systeem. 

Hoe werkt Ransomware-as-a-Service?

Deze vorm van verdienmodel wint de laatste tijd sterk aan populariteit onder cybercriminelen. Hackers zetten ransomware in op een netwerk of systeem, versleutelen gegevens, vergrendelen de toegang tot bestanden en eisen losgeld voor ontsleutelingssleutels. De betaling gebeurt meestal in bitcoin of andere vormen van cryptocurrency. Veel ransomwarefamilies kunnen gegevens gratis versleutelen, waardoor hun ontwikkeling en inzet kosteneffectief is. De aanvaller brengt alleen kosten in rekening als slachtoffers betalen; anders verdienen ze er niets aan. 

De vier RaaS-inkomstenmodellen:

Hoewel het mogelijk is om ransomware vanaf nul te bouwen met behulp van een botnet en andere vrij beschikbare tools, hebben cybercriminelen een eenvoudigere optie. In plaats van het risico te lopen gepakt te worden door hun tool helemaal opnieuw te bouwen, kunnen criminelen zich abonneren op een van de vier basis RaaS-inkomstenmodellen: 

  • Affiliate programma's
  • Maandelijkse abonnementen
  • Verkoop in bulk
  • Hybride abonnement-bulk verkoop

Het meest voorkomende is een aangepast affiliate programma, omdat affiliates minder overheadkosten hebben dan professionele cybercriminelen die vaak malware-diensten verkopen op ondergrondse forums. Affiliates kunnen zich aanmelden om geld te verdienen door gecompromitteerde websites te promoten met links in spam e-mails die in de loop der tijd naar miljoenen slachtoffers worden gestuurd. Daarna hoeven ze alleen uit te betalen wanneer ze losgeld van hun slachtoffers ontvangen.

Waarom is RaaS gevaarlijk?

Met RaaS kunnen cybercriminelen hun beperkte technische mogelijkheden benutten om van aanvallen te profiteren. Als een cybercrimineel moeite heeft om een slachtoffer te vinden, kan hij het slachtoffer verkopen aan een bedrijf (of meerdere bedrijven).

Als een cybercrimineel het een uitdaging vindt om online doelwitten aan te vallen, zijn er nu organisaties die hem kwetsbare doelwitten verkopen om uit te buiten. In wezen kan iedereen een ransomware-aanval uitvoeren vanaf om het even welk toestel zonder gebruik te maken van gesofisticeerde methoden door zijn inspanningen uit te besteden via een externe dienstverlener, waardoor het hele proces moeiteloos en toegankelijk wordt.

Hoe voorkom je Ransomware-as-a-Service-exploits?

Bij een ransomware-as-a-service-aanval verhuren hackers hun tools aan andere criminelen, die betalen voor toegang tot de code die hen helpt de computers van slachtoffers te infecteren met ransomware. De verkopers die deze tools gebruiken, worden betaald wanneer hun klanten inkomsten genereren van de geïnfecteerde slachtoffers.

Als u deze stappen volgt, kunt u aanvallen met ransomware-as-a-service voorkomen:

1. Ken de aanvalsmethodes

Er zijn verschillende manieren waarop ransomware uw organisatie kan infecteren. Weten hoe aanvallen worden uitgevoerd is de beste manier om u ertegen te beschermen. Als u weet hoe u wordt aangevallen, kunt u zich concentreren op welke beveiligingssystemen en beschermingen u nodig hebt, in plaats van alleen maar antivirussoftware te installeren en uw vingers te kruisen. 

Phishing-e-mails zijn een veelvoorkomend pad voor veel cyberaanvallen. Daarom moeten werknemers zich ervan bewust zijn niet op ingesloten koppelingen te klikken of bijlagen van onbekende afzenders te openen. Regelmatige herziening van het bedrijfsbeleid inzake e-mailbijlagen kan infectie door phishing-zwendel en andere methoden voor de levering van malware, zoals macrovirussen en trojans, helpen voorkomen.

2. Gebruik een betrouwbare systeembeveiligingssuite

Zorg ervoor dat op uw computer te allen tijde bijgewerkte beveiligingssoftware is geïnstalleerd. Als u geen antivirussoftware hebt, kunt u overwegen er meteen een te installeren. Antivirussoftware kan schadelijke bestanden opsporen voordat ze hun doelmachines bereiken, zodat er geen schade kan worden aangericht.

3. Maak regelmatig een back-up van alles

Als u een back-up maakt van al uw informatie, voorkomt u dat belangrijke informatie verloren gaat als uw systeem geïnfecteerd raakt met malware of ransomware. Als u echter wordt getroffen door een virus of malware-aanval, is de kans groot dat er niet regelmatig een back-up van al uw bestanden wordt gemaakt - zorg dus voor meerdere back-ups op verschillende locaties voor het geval er één uitvalt!

4. Kies voor bescherming tegen phishing met e-mailauthenticatie

Phishing-e-mails zijn veel voorkomende en krachtige aanvalsvectoren in ransomware-exploits. Meestal gebruiken hackers e-mails om slachtoffers te laten klikken op schadelijke koppelingen of bijlagen die hun computers vervolgens kunnen infecteren met ransomware. 

Idealiter zou u altijd de meest recente beveiligingspraktijken op de markt moeten volgen en alleen software downloaden van betrouwbare bronnen om deze phishing-zwendel te vermijden. Maar laten we eerlijk zijn, als u deel uitmaakt van een organisatie met meerdere werknemers, is het dwaas om dit van elk van uw werknemers te verwachten. Het is ook een uitdaging en tijdrovend om hun activiteiten altijd in de gaten te houden. Dit is waarom het implementeren van een DMARC beleid een goede manier is om uw e-mails te beschermen tegen phishing-aanvallen.

Laten we eens kijken waar DMARC valt in de infectie levenscyclus van RaaS: 

  • Aanvaller koopt kwaadaardige bijlage met ransomware van een RaaS-exploitant 
  • De aanvaller stuurt een phishing e-mail die zich voordoet als een XYZ bedrijf met de gekochte bijlage naar een nietsvermoedend slachtoffer 
  • Het geïmiteerde domein (XYZ inc.) heeft DMARC ingeschakeld, dat een authenticatieproces start door de identiteit van de afzender te verifiëren 
  • Als de verificatie mislukt, beschouwt de server van het slachtoffer de e-mail als kwaadaardig en weigert deze volgens het DMARC-beleid dat door de domeineigenaar is geconfigureerd

Lees meer over DMARC als de eerste verdedigingslinie tegen ransomware hier.

  • DNS-Filtering

Ransomware maakt gebruik van command and control (C2) servers om te communiceren met het platform van RaaS-operatoren. Een DNS-query wordt vaak gecommuniceerd van een geïnfecteerd systeem naar de C2-server. Organisaties kunnen een beveiligingsoplossing voor DNS-filtering gebruiken om te detecteren wanneer ransomware probeert te communiceren met de RaaS C2 en de transmissie te blokkeren. Dit kan fungeren als een infectiepreventiemechanisme. 

Conclusie

Hoewel Ransomware-as-a-Service (RaaS) een geesteskind en een van de meest recente bedreigingen is die ten prooi valt aan digitale gebruikers, is het van cruciaal belang om bepaalde preventieve maatregelen te nemen om deze bedreiging te bestrijden. Om u tegen deze aanval te beschermen, kunt u krachtige antimalwaretools en e-mailbeveiligingsprotocollen gebruiken, zoals een combinatie van DMARC, SPF, en DKIM om elk verkooppunt adequaat te beveiligen.