Ransomware-as-a-service (RaaS)

Under de senaste åren har det skett en ökning av attacker med utpressningstrojaner som infekterar datorer och tvingar användare att betala böter för att få tillbaka sina data. I takt med att nya taktiker för utpressningstrojaner, t.ex. dubbel utpressning, visar sig vara framgångsrika, kräver brottslingarna större lösensummor. Krav på lösensumma i genomsnitt 5,3 miljoner dollar. under första halvåret 2021, en ökning med 518 %. jämfört med samma period 2020. Sedan 2020 har det genomsnittliga lösenpriset stigit med 82 procent, till 570 000 dollar under första halvåret 2021. ensam.

RaaS, eller Ransomware-as-a-Service, gör attacken ännu farligare genom att vem som helst med några få klick kan starta ransomware-attacker på vilken dator eller mobil enhet som helst. Så länge de har en internetanslutning kan de ta kontroll över en annan dator, till och med en som används av din chef eller arbetsgivare! Men vad exakt betyder RaaS? 

Vad är Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-service (RaaS) har blivit en populär affärsmodell i ekosystemet för cyberbrottslighet. Ransomware-as-a-service gör det möjligt för cyberkriminella att enkelt genomföra ransomware-attacker utan att det behövs några kunskaper om kodning eller hackning.

En RaaS-plattform erbjuder en rad funktioner som gör det enkelt för brottslingar att starta en attack utan någon större expertis. RaaS-leverantören tillhandahåller koden för skadlig kod, som kunden (angriparen) kan anpassa för att passa sina behov. Efter anpassningen kan angriparen distribuera den direkt via plattformens kommando- och kontrollserver (C&C). Ofta behövs ingen C&C-server; en brottsling kan lagra attackfilerna i en molntjänst som Dropbox eller Google Drive.

RaaS-leverantören tillhandahåller också supporttjänster som omfattar teknisk hjälp med betalningshantering och dekrypteringsstöd efter en attack.

Ransomware-as-a-Service förklaras på engelska

Om du har hört talas om Sofware-as-a-Service och vet hur det fungerar, borde det vara lätt att förstå RaaS eftersom det fungerar på samma nivå. PowerDMARC är också en SaaS-plattform eftersom vi tar på oss rollen som problemlösare för globala företag och hjälper dem att autentisera sina domäner utan att lägga ner manuell ansträngning eller mänskligt arbete. 

 

Detta är precis vad RaaS är. Tekniskt begåvade aktörer som arbetar med skadliga hot på internet bildar ett konglomerat som fungerar som ett olagligt företag (som vanligtvis säljer sina tjänster på den mörka webben) och säljer skadliga koder och bilagor som kan hjälpa vem som helst på internet att infektera ett system med utpressningstrojaner. De säljer dessa koder till angripare som inte vill göra den svårare och mer tekniska delen av arbetet själva och som i stället letar efter tredje part som kan hjälpa dem. När angriparen väl har köpt koderna kan han fortsätta att infektera vilket system som helst. 

Hur fungerar Ransomware-as-a-Service?

Denna form av intäktsmodell har nyligen blivit mycket populär bland cyberkriminella. Hackare använder utpressningstrojaner i ett nätverk eller system, krypterar data, låser åtkomsten till filer och kräver en lösensumma för dekrypteringsnycklar. Betalningen sker vanligtvis i bitcoin eller andra former av kryptovaluta. Många Ransomware-familjer kan kryptera data gratis, vilket gör utvecklingen och spridningen av dem kostnadseffektiv. Angriparen tar bara betalt om offren betalar, annars tjänar de inga pengar på det. 

De fyra intäktsmodellerna för RaaS:

Även om det kan vara möjligt att bygga utpressningstrojaner från grunden med hjälp av ett botnät och andra fritt tillgängliga verktyg har cyberkriminella ett enklare alternativ. I stället för att riskera att åka fast genom att bygga sitt verktyg från grunden kan brottslingar prenumerera på en av fyra grundläggande RaaS-intäktsmodeller: 

  • Affiliateprogram
  • Månadsabonnemang
  • Bulkförsäljning
  • Hybridförsäljning av abonnemang och bulkförsäljning

Det vanligaste är ett modifierat affiliateprogram eftersom affiliates har mindre omkostnader än professionella cyberkriminella som ofta säljer skadlig kod på underjordiska forum. Affiliates kan anmäla sig för att tjäna pengar genom att marknadsföra komprometterade webbplatser med länkar i skräppost som skickas till miljontals offer med tiden. Därefter behöver de bara betala ut när de får lösensumma från sina offer.

Varför är RaaS farligt?

RaaS gör det möjligt för cyberkriminella att utnyttja sin begränsade tekniska kapacitet för att dra nytta av attacker. Om en cyberkriminell har svårt att hitta ett offer kan han sälja offret till ett företag (eller flera företag).

Om en cyberkriminell tycker att det är svårt att angripa mål på nätet finns det nu organisationer som säljer sårbara mål som han kan utnyttja. I princip kan alla och envar inleda en attack med utpressningstrojaner från vilken enhet som helst utan att använda sofistikerade metoder genom att lägga ut sina ansträngningar på en tredjepartsleverantör, vilket gör hela processen enkel och tillgänglig.

Hur förhindrar man utnyttjanden av Ransomware-as-a-Service?

I en attack med ransomware-as-a-service hyr hackare ut sina verktyg till andra brottslingar, som betalar för att få tillgång till koden som hjälper dem att infektera offrens datorer med ransomware. Säljarna som använder dessa verktyg får betalt när deras kunder genererar intäkter från de infekterade offren.

Genom att följa dessa steg kan du förhindra attacker med utpressningstjänster som en tjänst:

1. Känn till attackmetoderna

Det finns flera olika sätt på vilka utpressningstrojaner kan infektera din organisation. Det bästa sättet att skydda sig mot attacker är att veta hur de genomförs. Om du vet hur du blir attackerad kan du fokusera på vilka säkerhetssystem och skydd du behöver, i stället för att bara installera antivirusprogram och hålla tummarna. 

Phishing-e-post är en vanlig väg för många cyberattacker. Därför måste de anställda vara medvetna om att inte klicka på inbäddade länkar eller öppna bilagor från okända avsändare. Genom att regelbundet se över företagets policyer för e-postbilagor kan man förhindra infektion genom nätfiskebedrägerier och andra metoder för överföring av skadlig kod, t.ex. makrovirus och trojaner.

2. Använd en pålitlig systemskyddssvit

Se till att din dator alltid har en uppdaterad säkerhetsprogramvara installerad. Om du inte har något antivirusprogram bör du överväga att installera ett omedelbart. Antivirusprogram kan upptäcka skadliga filer innan de når sina målmaskiner och förhindra att skada uppstår.

3. Säkerhetskopiera allt regelbundet

Genom att ha all din information säkerhetskopierad kan du förhindra att viktig information går förlorad om ditt system infekteras av skadlig kod eller utpressningstrojaner. Men om du drabbas av virus- eller malware-attacker är chansen stor att alla dina filer ändå inte säkerhetskopieras regelbundet - så se till att du har flera säkerhetskopior på olika platser ifall en av dem skulle misslyckas!

4. Välj skydd mot nätfiske med autentisering av e-post

Phishing-e-post är extremt vanliga och kraftfulla angreppsvektorer för utpressningstrojaner. Oftast använder hackare e-post för att försöka få offren att klicka på skadliga länkar eller bilagor som sedan kan infektera deras datorer med utpressningstrojaner. 

Du bör alltid följa de mest uppdaterade säkerhetsrutinerna på marknaden och endast ladda ner programvara från betrodda källor för att undvika dessa nätfiskebedrägerier. Men låt oss inse att när du är en del av en organisation med flera anställda är det dumt att förvänta sig detta av var och en av dina anställda. Det är också utmanande och tidskrävande att hålla koll på deras aktiviteter hela tiden. Det är därför som man bör införa en DMARC-policy är ett bra sätt att skydda din e-post från phishingattacker.

Låt oss se var DMARC hamnar i RaaS-infektionens livscykel: 

  • Angripare köper skadlig bilaga som innehåller utpressningstrojaner från en RaaS-operatör 
  • Angriparen skickar ett phishing-e-postmeddelande som utger sig för att vara XYZ-företag med den köpta bilagan till ett intet ont anande offer. 
  • Den utgivna domänen (XYZ inc.) har DMARC aktiverat, vilket initierar en autentiseringsprocess genom att kontrollera avsändarens identitet. 
  • Om verifieringen misslyckas anser offrets server att e-postmeddelandet är skadligt och avvisar det i enlighet med den DMARC-policy som domänägaren har konfigurerat.

Läs mer om DMARC som första försvarslinje mot utpressningstrojaner här.

  • DNS-filtrering

Ransomware använder C2-servrar (Command and Control) för att kommunicera med RaaS-operatörernas plattform. En DNS-förfrågan skickas ofta från ett infekterat system till C2-servern. Organisationer kan använda en säkerhetslösning för DNS-filtrering för att upptäcka när ransomware försöker kommunicera med RaaS C2 och blockera överföringen. Detta kan fungera som en mekanism för att förebygga infektioner. 

Slutsats

Även om Ransomware-as-a-Service (RaaS) är en av de senaste hoten mot digitala användare är det viktigt att vidta vissa förebyggande åtgärder för att bekämpa detta hot. För att skydda dig mot denna attack kan du använda kraftfulla antimalwareverktyg och e-postsäkerhetsprotokoll som en kombination av följande DMARC, SPF och DKIM för att skydda varje utskick på ett tillfredsställande sätt.