За багатьма кіберзловмисниками стоять не просто одинаки в темних кімнатах. Скоріше деякі групи APT вважають себе бізнес-компаніями, які більше не діють самостійно, а лише продають свої послуги та технології та збирають значні кошти. Це заробляє гроші та зменшує ризик. Ось коротке пояснення того, як працює RaaS – програма-вимагач як послуга.
В ІТ продукти зараз переважно пропонуються як послуги, такі як платформа як послуга (PaaS) або інфраструктура як послуга (IaaS). Вони складаються з великої кількості підпослуг, які, у свою чергу, надаються різними постачальниками з точки зору розподілу праці та професіоналізації – успішна концепція, якою також користуються кіберзлочинці. Різні групи зловмисників надають окремі частини всієї наскрізної служби програм-вимагачів. Ці сервісні блоки програм-вимагачів добре описані, і їх можна легко придбати різного рівня якості.
Бізнес-модель програми-вимагача як послуги
Ransomware-as-a-Service (RaaS) за останні роки перетворився на справжню бізнес-модель із високопрофесійними акторами, не в останню чергу тому, що можлива поверхня атак для кіберзлочинців значно зросла. За оцінками, у 2020 році 64% усіх атак програм-вимагачів було здійснено за допомогою підходу RaaS.
З розвитком віддаленої роботи та домашнього офісу кількість пристроїв, які використовуються поза межами захищеного периметру компанії, також зросла. Крім того, через перехід до хмарних послуг та інфраструктури ІТ-ландшафти стають складнішими, а отже, їх складніше захистити. Зловмисникам потрібно лише знайти одну вразливість; Організаціям необхідно охоплювати всі можливі випадки та йти в ногу з останніми стратегіями атак.
RaaS — це професійний бізнес
«Бізнес RaaS став надзвичайно професійним за останні роки: кримінальні постачальники надають широкий спектр інструментів для атак і окремих етапів атак як послуг і надають великого значення обслуговуванню. Інструменти пропонуються разом із інструкціями щодо проведення атак, найкращими практиками, стратегіями програм-вимагачів і навіть службою підтримки ІТ», — пояснює доктор. Себастьян Шмерл, директор служби безпеки в регіоні EMEA в Arctic Wolf. «RaaS часто пропонує саме таку документацію та архітектуру, яких можна було б очікувати від основних пропозицій SaaS, і це далекий від поп-культурного зображення стереотипного самотника в балахоні».
Як і в галузі SaaS, для постачальників RaaS існують різні стратегії ціноутворення. Деякі пропонують свої послуги атаки як одноразову покупку, інші через підписку, а треті використовують комбінацію підписки та частки викупу, сплаченого розробнику після успішної атаки. В останньому випадку провайдери досить вибагливі і працюють тільки з клієнтами, які мають певний послужний список. Тому проводиться початкова перевірка прибутковості.
Чому RaaS такий успішний?
Криптовалюти є критично важливим фактором успіху RaaS. Оскільки такі валюти, як біткойн і монеро, важко відстежити, вони добре піддаються платежам RaaS і вимогам викупу. Крім того, криптовалюти відносно легко конвертувати в «чисті гроші», що робить їх привабливими для зловмисників, які шукають швидкого прибутку.
Простіше кажучи: RaaS настільки успішний, тому що програми-вимагачі є потужним засобом тиску – ключове слово «подвійне вимагання»: ІТ-шифрування в поєднанні з загрозою розкриття даних. Крім того, коли дані викрадають або блокують, компанії часто не знають, що робити в цій ситуації. Вони часто вважають, що сплата викупу є єдиним варіантом, хоча LKA, BKA та BSI наполегливо радять компаніям не робити цього.
Використання програм-вимагачів є не лише ефективною стратегією атаки, а й порівняно простими у доступі до послуг RaaS, їх використання та адаптації. Зловмисники часто використовують платформу програм-вимагачів для керування жертвами та їхніми статусами та постійно вдосконалюють цю платформу та окремі модулі атаки. Це дозволяє їм легко додавати нові функції, які роблять платформу ще більш «масштабованою та продуктивною». Деякі групи зловмисників також співпрацюють у обробці жертв і діляться кодом системи атак.
Так компанії можуть захистити себе
Хоча зловмисники організовані та високопрофесійні, компанії можуть захистити себе від атак програм-вимагачів. Найважливішим фактором захисту від кіберзагроз є проактивний підхід із запобіжними заходами:
- Створення мислення щодо безпеки або корпоративної культури, що усвідомлює безпеку: це починається з навчання кібергігієні та усвідомлення того, що безпека — це не стан речей, а постійний процес. Оскільки загрози змінюються, дані про загрози слід використовувати для коригування стратегій захисту та інформаційних ресурсів безпеки.
- Навчання співробітників, щоб підвищити обізнаність про загрози та як виявити фішингові шахрайства та інші попередження. Це особливо важливо, оскільки атаки соціальної інженерії спрямовані безпосередньо на співробітників.
- Використовуйте всі можливості для підвищення безпеки даних, наприклад, шляхом більш частого резервного копіювання. Резервні копії слід зберігати в окремих областях керування, щоб вони не були під загрозою разом із активно використовуваними даними (рішення з повітряним проміжком).
- Регулярне оновлення систем, оскільки зловмисники RaaS часто використовують відомі вразливості та помилки конфігурації.
- Розширений моніторинг безпеки для швидкого виявлення кібератак і вжиття відповідних заходів. Виявлення та реагування також пропонується як послуга керованого виявлення та реагування (MDR) такими постачальниками, як Arctic Wolf.
Про Арктичного вовка Arctic Wolf є світовим лідером у сфері операцій безпеки, надаючи першу хмарну платформу операцій безпеки для зменшення кіберризиків. На основі даних телеметрії про загрози, що охоплюють кінцеві точки, мережі та хмарні джерела, Arctic Wolf® Security Operations Cloud аналізує понад 1,6 трильйона подій безпеки на тиждень у всьому світі. Він надає важливу для компанії інформацію про майже всі випадки використання безпеки та оптимізує неоднорідні рішення безпеки клієнтів. Платформу Arctic Wolf використовують понад 2.000 клієнтів по всьому світу. Він забезпечує автоматичне виявлення загроз і реагування на них, дозволяючи організаціям будь-якого розміру налаштовувати операції безпеки світового класу одним натисканням кнопки.