Ransomware-as-a-service (RaaS)

De siste årene har det sett økte angrep på løsepengeprogramvare, infisering av datamaskiner og tvunget brukere til å betale bøter for å få tilbake dataene sine. Ettersom nye løsepengevare-taktikker som dobbel utpressing viser seg å være vellykket, krever kriminelle større løsepenger. Løsepengekrav var i gjennomsnitt 5,3 millioner dollar i første halvdel av 2021, opp med 518 % i samme periode i 2020. Siden 2020 har den gjennomsnittlige løsepengeprisen steget med 82 prosent, og nådde 570 000 dollar i første halvdel av 2021 alene.

RaaS, eller Ransomware-as-a-Service, gjør dette angrepet enda farligere ved å la hvem som helst starte løsepengeangrep på hvilken som helst datamaskin eller mobilenhet med noen få klikk. Så lenge de har en internettforbindelse, kan de ta kontroll over en annen datamaskin, til og med en som brukes av sjefen eller arbeidsgiveren din! Men hva betyr egentlig RaaS? 

Hva er Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-service (RaaS) har blitt en populær forretningsmodell i økosystemet for nettkriminalitet. Ransomware-as-a-service lar nettkriminelle enkelt distribuere løsepengevare-angrep uten at noen trenger kunnskap om koding eller hacking.

En RaaS-plattform tilbyr en rekke funksjoner som gjør det enkelt for kriminelle å starte et angrep med liten eller ingen ekspertise. RaaS-leverandøren vil gi skadevarekoden, som kunden (angriperen) kan tilpasse for å passe hans behov. Etter tilpasning kan angriperen distribuere den umiddelbart via plattformens kommando- og kontrollserver (C&C). Ofte er det ikke behov for en C&C-server; en kriminell kan lagre angrepsfilene på en skytjeneste som Dropbox eller Google Drive.

RaaS-leverandøren tilbyr også støttetjenester som inkluderer teknisk assistanse med betalingsbehandling og dekrypteringsstøtte etter et angrep.

Ransomware-as-a-Service forklart på vanlig engelsk

Hvis du har hørt om Sofware-as-a-Service og vet hvordan det fungerer, bør det være vanskelig å forstå RaaS siden den opererer på et lignende nivå. PowerDMARC er også en SaaS-plattform da vi påtar oss rollen som problemløsere for globale virksomheter som hjelper dem med å autentisere domenene sine uten å legge inn manuell innsats eller menneskelig arbeid. 

 

Dette er akkurat hva RaaS er. Teknisk begavede ondsinnede trusselaktører over internett danner et konglomerat som opererer i form av en ulovlig virksomhet (som vanligvis selger tjenestene sine over det mørke nettet), som selger ondsinnede koder og vedlegg som kan hjelpe hvem som helst over internett å infisere ethvert system med løsepengevare. De selger disse kodene til angripere som ikke ønsker å gjøre den vanskeligere og tekniske delen av jobben selv og søker i stedet etter tredjeparter som kan bistå dem. Når angriperen har foretatt kjøpet, kan han fortsette å infisere et hvilket som helst system. 

Hvordan fungerer Ransomware-as-a-Service?

Denne formen for inntektsmodell har nylig vunnet mye popularitet blant nettkriminelle. Hackere distribuerer løsepengevare på et nettverk eller system, krypterer data, låser tilgang til filer og krever løsepenger for dekrypteringsnøkler. Betalingen er vanligvis i bitcoin eller andre former for kryptovaluta. Mange løsepengevarefamilier kan kryptere data gratis, noe som gjør utviklingen og distribusjonen kostnadseffektiv. Angriperen sikter bare hvis ofrene betaler; ellers tjener de ingen penger på det. 

De fire RaaS-inntektsmodellene:

Selv om det kan være mulig å bygge løsepengevare fra bunnen av ved hjelp av et botnett og andre fritt tilgjengelige verktøy, har nettkriminelle et enklere alternativ. I stedet for å risikere å bli tatt ved å bygge verktøyet sitt fra bunnen av, kan kriminelle abonnere på en av fire grunnleggende RaaS-inntektsmodeller: 

  • Tilknyttede programmer
  • Månedlige abonnementer
  • Massesalg
  • Hybrid abonnement-massesalg

Det vanligste er et modifisert affiliateprogram fordi tilknyttede selskaper har mindre overhead enn profesjonelle nettkriminelle som ofte selger skadevaretjenester på underjordiske fora. Tilknyttede selskaper kan registrere seg for å tjene penger ved å promotere kompromitterte nettsteder med lenker i spam-e-poster sendt til millioner av ofre over tid. Etter det trenger de bare å betale ut når de mottar løsepenger fra ofrene sine.

Hvorfor er RaaS farlig?

RaaS gjør det mulig for nettkriminelle å utnytte sine begrensede tekniske evner til å tjene på angrep. Hvis en nettkriminell har problemer med å finne et offer, kan han selge offeret til et selskap (eller flere selskaper).

Hvis en nettkriminell synes det er utfordrende å angripe nettbaserte mål, er det nå organisasjoner som vil selge ham sårbare mål å utnytte. I hovedsak kan alle og enhver starte et løsepengeangrep fra hvilken som helst enhet uten å bruke sofistikerte metoder ved å outsource innsatsen gjennom en tredjeparts tjenesteleverandør, noe som gjør hele prosessen enkel og tilgjengelig.

Hvordan forhindre ransomware-as-a-service-utnyttelse?

I et ransomware-as-a-service-angrep leier hackere ut verktøyene sine til andre kriminelle, som betaler for tilgang til koden som hjelper dem å infisere ofrenes datamaskiner med løsepengevare. Selgerne som bruker disse verktøyene, får betalt når kundene deres genererer inntekter fra de infiserte ofrene.

Å følge disse trinnene kan hjelpe deg med å forhindre ransomware-as-a-service-angrep:

1. Kjenn til angrepsmetodene

Det er flere forskjellige måter løsepengevare kan infisere organisasjonen din. Å vite hvordan angrep utføres er den beste måten å beskytte deg mot dem. Å vite hvordan du vil bli angrepet kan fokusere på hvilke sikkerhetssystemer og beskyttelser du trenger, i stedet for bare å installere antivirusprogramvare og krysse fingrene. 

Phishing-e-poster er en vanlig vei for mange nettangrep. Som et resultat må ansatte være oppmerksomme på ikke å klikke på innebygde lenker eller åpne vedlegg fra ukjente avsendere. Regelmessig gjennomgang av selskapets retningslinjer rundt e-postvedlegg kan bidra til å forhindre infeksjon ved phishing-svindel og andre leveringsmetoder for skadelig programvare som makrovirus og trojanere.

2. Bruk en pålitelig systemsikkerhetspakke

Sørg for at datamaskinen til enhver tid har oppdatert sikkerhetsprogramvare installert. Hvis du ikke har antivirusprogramvare, bør du vurdere å installere en med en gang. Antivirusprogramvare kan oppdage skadelige filer før de når målmaskinene, og forhindrer skade fra å bli gjort.

3. Sikkerhetskopier alt regelmessig

Å ha all informasjon sikkerhetskopiert vil bidra til å forhindre tap av viktig informasjon hvis systemet ditt blir infisert med skadelig programvare eller løsepengeprogramvare. Men hvis du blir truffet av virus- eller skadevareangrep, er sjansen stor for at alle filene dine ikke blir sikkerhetskopiert regelmessig uansett – så sørg for at du har flere sikkerhetskopier på forskjellige steder i tilfelle en feiler!

4. Velg phishing-beskyttelse med e-postautentisering

Phishing-e-poster er ekstremt vanlige og kraftige angrepsvektorer i ransomware-utnyttelser. Oftere enn ikke bruker hackere e-post for å prøve å få ofre til å klikke på ondsinnede lenker eller vedlegg som deretter kan infisere datamaskinene deres med løsepengeprogramvare. 

Ideelt sett bør du alltid følge den mest oppdaterte sikkerhetspraksisen på markedet og kun laste ned programvare fra pålitelige kilder for å unngå disse phishing-svindelene. Men la oss innse det, når du er en del av en organisasjon med flere ansatte, er det dumt å forvente dette fra hver av arbeiderne dine. Det er også utfordrende og tidkrevende å holde oversikt over aktivitetene deres til enhver tid. Dette er grunnen til at implementering av en DMARC-policy er en god måte å beskytte e-postene dine mot phishing-angrep.

La oss sjekke ut hvor DMARC faller i infeksjonslivssyklusen til RaaS: 

  • Angriperen kjøper ondsinnet vedlegg som inneholder løsepengevare fra en RaaS-operatør 
  • Angriperen sender en phishing-e-post som utgir seg for XYZ-inkorporering med det kjøpte vedlegget til et intetanende offer 
  • Det etterligne domenet (XYZ inc.) har DMARC aktivert, som starter en autentiseringsprosess ved å bekrefte identiteten til avsenderen 
  • Ved bekreftelsesfeil anser offerets server e-posten som skadelig og avviser den i henhold til DMARC-policyen konfigurert av domeneeieren

Les mer om DMARC som den første forsvarslinjen mot løsepengevare her.

  • DNS-filtrering

Ransomware bruker kommando- og kontrollservere (C2) for å kommunisere med plattformen til RaaS-operatører. En DNS-spørring blir ofte kommunisert fra et infisert system til C2-serveren. Organisasjoner kan bruke en DNS-filtreringssikkerhetsløsning for å oppdage når løsepengevare prøver å kommunisere med RaaS C2 og blokkere overføringen. Dette kan fungere som en infeksjonsforebyggende mekanisme. 

Konklusjon

Mens Ransomware-as-a-Service (RaaS) er et hjernebarn og en av de nyeste truslene mot digitale brukere, er det avgjørende å iverksette visse forebyggende tiltak for å bekjempe denne trusselen. For å beskytte deg mot dette angrepet, kan du bruke kraftige antimalware-verktøy og e-postsikkerhetsprotokoller som en kombinasjon av DMARC , SPF og DKIM for å sikre alle uttak tilstrekkelig.