Что такое программа-вымогатель как услуга (RaaS)?

Что такое программа-вымогатель как услуга (RaaS)?

Владимир Безмалый

Программа-вымогатель как услуга (RaaS) становится все более популярным инструментом среди киберпреступников. Я расскажу, что такое RaaS и как вы можете не стать его жертвой.

Программа-вымогатель как услуга (Ransomware as a Service — RaaS) — это тип сервиса вредоносных программ, запускаемой преступниками для преступников. Настройки RaaS во многом похожи на традиционные модели «Программное обеспечение как услуга» (SaaS). Большая разница в том, что в данном случае программа представляет собой инструмент, используемый для преступной деятельности, в частности, для координации атак программ-вымогателей.

Программы-вымогатели — это тип вредоносного ПО, которое обычно шифрует файлы и папки на устройстве жертвы и требует выкупа в обмен на безопасное возвращение зашифрованных данных. Мы наблюдаем всплеск атак программ-вымогателей во многих регионах мира, вероятно, отчасти из-за доступности программ-вымогателей через RaaS.

В данной мы с вами подробнее рассмотрим, что такое RaaS и как он работает, включая несколько примеров. А также раскрываем основные шаги, которые вы можете предпринять, чтобы защитить себя от программ-вымогателей.

Что такое программа-вымогатель как услуга?

По самым скромным оценкам, общая сумма потерь от программ-вымогателей с середины 2019 по середину 2020 года составила более 1 миллиарда долларов. Средний размер выкупа в 2020 году составил 170 404 доллара. Успешные атаки программ-вымогателей могут принести злоумышленникам огромную прибыль. А использование RaaS может быть недорогим и относительно простым делом.

В то время как преступник может легко выполнить программу-вымогатель, разработка самой вредоносной программы требует технической смекалки и навыков. Это тип программного обеспечения, доступного для продажи в Интернете, обычно находится в даркнете. Разработчики создают программы-вымогатели и продают их для широкого использования.

Создатели рекламируют программное обеспечение для продажи, аналогично тому, как другие поставщики программного обеспечения продвигают законные услуги в открытой сети. Продавцы создают профессиональные веб-сайты, размещают рекламу в социальных сетях, размещают видеорекламу и технические документы и продвигают отзывы пользователей. Некоторые из них предоставляют круглосуточную техническую поддержку, форумы пользователей, документацию по поддержке и регулярные обновления.

Программы-вымогатели можно настраивать, и покупателям часто предоставляются элегантные интерфейсы, в которых они могут настраивать свои вредоносные программы. Некоторые панели мониторинга позволяют пользователям просматривать информацию о целях, например о том, где была запущена вредоносная программа, сколько файлов было зашифровано и сколько выкупов было заплачено.

Преступники, просматривающие варианты RaaS, могут получить специальные предложения и выбрать одну из различных моделей подписки. Они аналогичны предложениям традиционных поставщиков SaaS и могут принимать одну из следующих форм:

  • Единовременная плата за лицензию: Предоставляет неограниченный доступ к услуге без будущих платежей.
  • Ежемесячная ставка: покупатели платят фиксированную ежемесячную плату.
  • Распределение прибыли: оператор получает долю прибыли от каждой успешной атаки, аналогично партнерской программе.

Некоторые модели могут включать комбинацию типов оплаты. Например, участие в прибыли можно комбинировать с лицензионным платежом или ежемесячной оплатой.

В то время как некоторые модели RaaS позволяют менее опытным преступникам зарабатывать деньги на программах-вымогателях, многие провайдеры RaaS очень разборчивы в отношении филиалов, с которыми они работают. Разработчики создают вредоносное ПО, но их прибыль часто зависит от способности аффилированных лиц распространять его. Некоторые создатели внедряют жесткие процессы отбора, чтобы гарантировать, что они работают только с партнерами, которые принесут им хорошую прибыль.

Примеры программ-вымогателей как услуги

Было обнаружено множество различных типов RaaS. Операторы постоянно разрабатывают новое и более совершенное программное обеспечение. Ниже приведены некоторые примеры печально известных программ-вымогателей, которые распространяются через модель RaaS.

Egregor

Egregor — относительно новый RaaS. Операторы, разработавшие программу-вымогатель, управляют платежным сайтом, а филиалы взламывают корпоративные сети и развертывают вредоносное ПО. Сообщается, что Egregor работает по партнерской системе, при этом разработчики получают 20-30% выкупа, а остальная часть идет аффилированным лицам.

Считается, что Egregor, запущенный в сентябре 2020 года, был заменой Maze RaaS, который прекратил свою деятельность примерно в то же время.

За последний год атакам Egregor подверглись несколько французских организаций, в том числе Ouest France, Ubisoft и Gefco. Недавно во Франции было произведено несколько арестов в связи с вымогательством Egregor.

REvil

Сообщается, что разработчики REvil RaaS очень разборчивы в том, с кем они работают. Кандидаты на участие в программе должны подтвердить свой опыт взлома, прежде чем они будут приняты.

REvil имеет длинный список жертв, включая Travelex, Brown-Forman, Cyrus One и SeaChange International. Сообщается, что за год он принес разработчикам 100 миллионов долларов. Эта программа-вымогатель, по всей видимости, в значительной степени нацелена на компании юридического, страхового и сельскохозяйственного секторов.

REvil использует несколько иной способ зарабатывания денег на традиционных схемах вымогательства. Помимо требования выкупа в обмен на безопасное возвращение файлов, он также угрожает утечкой украденных данных и дальнейшим вымогательством жертв .

Группа REvil отвечает за самый крупный на сегодняшний день запрос на выкуп. В марте 2021 года он запросил 50 миллионов долларов у производителя электроники Acer.

Dharma

Dharma — это далеко не новость на сцене RaaS, и она работает с 2017 года. Она заменяет файлы с расширением .dharma. Требования выкупа Дхармы, как правило, находятся на более низком уровне по сравнению с другими RaaS, в среднем около 9000 долларов .

Провайдеры предлагают очень простой в использовании комплект, который позволяет менее опытным хакерам присоединиться к ним в качестве аффилированных лиц. Легкость входа может быть связана с меньшей полезной нагрузкой.

Cerber

Cerber — еще одна программа-вымогатель, предлагаемая как RaaS. Это вредоносное ПО имеет ряд каналов распространения, включая фишинговые электронные письма, вредоносную рекламу (рекламу, зараженную вредоносным ПО) и вредоносные веб-сайты. Обычно это работает по партнерской модели, когда партнеры получают 40-процентную скидку от суммы выкупа.

Другие операции RaaS включают Locky, LockBit, Goliath, Shark, Stampado, Encryptor, Jokeroo, Ragnarok, ProLock, CryLock и Nefilim.

Как можно защититься от RaaS?

Когда мы обсуждаем, как защититься от RaaS, мы, по сути, говорим о том, как защитить себя от программ-вымогателей.

Вот как остановить программу-вымогатель как услугу:

  • Научитесь обнаруживать вредоносные электронные письма. Поскольку электронная почта является обычным средством распространения программ-вымогателей, важно ознакомиться с общими признаками вредоносных электронных писем, рекламы и сайтов. Золотое правило — никогда не нажимать на ссылку или вложение, если вы не уверены, что можете доверять источнику.
  • Используйте надежный брандмауэр: брандмауэр может выступать в качестве вашей первой линии защиты и предотвращать проникновение определенных типов вредоносных программ в вашу систему.
  • Купите надежное антивирусное программное обеспечение: антивирусное программное обеспечение будет отслеживать и блокировать известные угрозы, включая многие виды вымогателей.
  • Обновляйте программное обеспечение: обновления обычно включают исправления безопасности, устраняющие уязвимости. Задержка обновлений может сделать вашу систему уязвимой.
  • Поддерживайте актуальные резервные копии: рекомендуется хранить несколько резервных копий в разных местах. При определении частоты резервного копирования подумайте, сколько данных вы можете позволить себе потерять, например, стоимость часа, стоимость дня и т. д. Также важно протестировать резервные копии, чтобы убедиться, что данные можно получить.

16 июня, 2021

Источник https://ib-bank.ru/bisjournal/news/15767

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Владимир Безмалый

О безопасности и не только