Atrás de muitos atacantes cibernéticos não estão apenas solitários em salas escuras. Em vez disso, alguns grupos APT se veem como empresas que não atuam mais por conta própria, mas apenas vendem seus serviços e tecnologia e cobram pesadamente. Isso faz dinheiro e reduz o risco. Aqui está uma breve explicação de como funciona o RaaS – Ransomware as-a-Service.
Em TI, os produtos agora são oferecidos principalmente como serviços, como Platform-as-a-Service (PaaS) ou Infrastructure-as-a-Service (IaaS). Estes consistem em um grande número de subserviços, que por sua vez são disponibilizados por diferentes provedores em termos de divisão de trabalho e profissionalização - um conceito de sucesso do qual os cibercriminosos também se aproveitam. Diferentes grupos de invasores fornecem as partes individuais de todo o serviço de ransomware de ponta a ponta. Esses blocos de serviço ransomware são bem descritos e podem ser facilmente adquiridos em diferentes níveis de qualidade.
Modelo de negócios de ransomware como serviço
O Ransomware-as-a-Service (RaaS) tornou-se um modelo de negócios real com atores altamente profissionais nos últimos anos, principalmente porque a possível superfície de ataque para cibercriminosos aumentou significativamente. Estima-se que em 2020, 64% de todos os ataques de ransomware foram realizados usando a abordagem RaaS.
Com o boom do trabalho remoto e do home office, também aumentou o número de dispositivos utilizados fora do perímetro protegido da empresa. Além disso, devido à mudança para infraestruturas e serviços baseados em nuvem, os cenários de TI estão se tornando mais complexos e, portanto, mais difíceis de proteger. Os invasores só precisam encontrar uma única vulnerabilidade; As organizações precisam cobrir todas as eventualidades e acompanhar as estratégias de ataque mais recentes.
RaaS é um negócio profissional
“O negócio RaaS tornou-se extremamente profissional nos últimos anos: os provedores criminosos fornecem uma ampla variedade de ferramentas de ataque e etapas de ataque individuais como serviços e atribuem grande importância ao serviço. As ferramentas são oferecidas juntamente com guias de instruções para conduzir ataques, melhores práticas, estratégias de ransomware e até um helpdesk de TI”, explica o Dr. Sebastian Schmerl, Diretor de Serviços de Segurança EMEA da Arctic Wolf. "O RaaS geralmente oferece exatamente o tipo de documentação e arquitetura que se esperaria das principais ofertas de SaaS e está muito longe do retrato da cultura pop do estereótipo do solitário que usa moletom".
Como no setor de SaaS, também existem diferentes estratégias de preços para provedores de RaaS. Alguns oferecem seus serviços de ataque como uma compra única, outros por meio de assinaturas e outros ainda usam uma combinação de assinatura e uma parte da taxa de resgate paga ao desenvolvedor após um ataque bem-sucedido. Neste último caso, os provedores são bastante exigentes e trabalham apenas com clientes que possuem um determinado histórico. Portanto, é realizada uma verificação inicial da lucratividade.
Por que o RaaS é tão bem-sucedido?
As criptomoedas são um fator crítico para o sucesso do RaaS. Como moedas como bitcoin e monero são difíceis de rastrear, elas se prestam bem a pagamentos de RaaS e demandas de resgate. Além disso, as criptomoedas são relativamente fáceis de converter em “dinheiro limpo”, o que as torna atraentes para agentes mal-intencionados em busca de lucro rápido.
Simplificando: o RaaS é tão bem-sucedido porque o ransomware é um poderoso meio de pressão - palavra-chave "extorsão dupla": criptografia de TI combinada com a ameaça de divulgação de dados. Além disso, quando os dados são roubados ou bloqueados, muitas vezes as empresas não sabem o que fazer na situação. Eles costumam pensar que pagar o resgate é a única opção, embora o LKA, o BKA e o BSI recomendem fortemente que as empresas não o façam.
O uso de ransomware não é apenas uma estratégia de ataque eficaz, os serviços RaaS também são comparativamente fáceis de acessar, usar e adaptar. Os invasores costumam usar uma plataforma de ransomware para gerenciar as vítimas e seus status e desenvolver continuamente essa plataforma e os módulos de ataque individuais. Isso permite que eles adicionem facilmente novos recursos que tornam a plataforma ainda mais “escalável e produtiva”. Alguns grupos de invasores também cooperam no processamento das vítimas e compartilham o código do mecanismo de ataque.
É assim que as empresas podem se proteger
Embora os invasores sejam organizados e altamente profissionais, as empresas podem se proteger contra ataques de ransomware. O fator mais importante na defesa contra ameaças cibernéticas é uma abordagem proativa com medidas preventivas:
- Estabelecer uma mentalidade de segurança ou uma cultura corporativa preocupada com a segurança: Isso começa com a educação sobre higiene cibernética e a percepção de que a segurança não é um estado de coisas, mas um processo contínuo. À medida que as ameaças mudam, a inteligência de ameaças deve ser aproveitada para ajustar as estratégias de defesa e os recursos de informações de segurança.
- Treinamento de funcionários para aumentar a conscientização sobre as ameaças e como identificar golpes de phishing e outras bandeiras vermelhas. Isso é particularmente importante, pois os ataques de engenharia social são direcionados diretamente aos funcionários.
- Explore todas as possibilidades para aumentar a segurança dos dados, por exemplo, por meio de backups mais frequentes. Os backups devem ser armazenados em áreas de gerenciamento separadas para que não sejam colocados em perigo junto com os dados usados ativamente (solução com intervalo de ar).
- Correção regular de sistemas, pois os invasores RaaS geralmente exploram vulnerabilidades conhecidas e erros de configuração.
- Extenso monitoramento de segurança para identificar rapidamente ataques cibernéticos e tomar as medidas apropriadas. A Detecção e Resposta também é oferecida como um serviço de Detecção e Resposta Gerenciada (MDR) por provedores como Arctic Wolf.
Sobre o Lobo do Ártico A Arctic Wolf é líder global em operações de segurança, fornecendo a primeira plataforma de operações de segurança nativa da nuvem para mitigar o risco cibernético. Com base na telemetria de ameaças, abrangendo endpoints, redes e fontes de nuvem, o Arctic Wolf® Security Operations Cloud analisa mais de 1,6 trilhão de eventos de segurança por semana em todo o mundo. Ele fornece insights críticos para a empresa em quase todos os casos de uso de segurança e otimiza as soluções de segurança heterogêneas dos clientes. A plataforma Arctic Wolf é usada por mais de 2.000 clientes em todo o mundo. Ele fornece detecção e resposta automatizadas a ameaças, permitindo que organizações de todos os tamanhos configurem operações de segurança de classe mundial com o toque de um botão.