Программа-вымогатель как услуга (RaaS) — растущая угроза кибербезопасности

Программа-вымогатель как услуга (RaaS) — растущая угроза кибербезопасности

Владимир Безмалый

Тенденции в области программ-вымогателей сейчас на подъеме, даже больше, чем в предыдущие годы. По некоторым оценкам, к концу 2021 года количество атак с использованием программ-вымогателей увеличится до одной атаки каждые 11 секунд, при этом рекордный рекорд — одна программа-вымогатель каждые 14 секунд.

Учитывая, насколько прибыльным стало электронное преступление, «коммерческое использование» вредоносных программ было бы следующим наиболее логичным шагом. В этой статье мы поговорим о программе-вымогателе как услуге (RaaS), эталоне преступной активности в Интернете.

Что такое программа-вымогатель как услуга (RaaS)?

Программа-вымогатель как услуга — это незаконная бизнес-инфраструктура «родительско-аффилированного лица», в которой операторы (т. е. владелец и/или разработчик вредоносного программного обеспечения) предоставляют инструменты аффилированным лицам (т. е. клиентам) с целью выполнения атаки программ-вымогателей.

В зависимости от договорного соглашения клиенты могут разделить часть прибыли с провайдером RaaS, оставить прибыль себе или зарегистрироваться в схеме оплаты за использование, которая предоставит им доступ к обновлениям, новым вредоносным версиям, и экспериментальные особенности. Во всех аспектах любой RaaS можно рассматривать как SaaS (программное обеспечение как услугу). Далее мы собираемся более подробно рассмотреть основные типы бизнес-моделей «программа-вымогатель как услуга».

Как работает бизнес-модель RaaS?

Поскольку RaaS не является прозрачным веб-сервисом, монетизация и отношения с клиентами не привязаны к каким-либо «традиционным правилам». Другими словами, у каждого оператора RaaS своя бизнес-модель. Однако на основании проведенных на данный момент наблюдений всех операторов программ-вымогателей как услуги — за некоторыми исключениями — можно разделить на четыре основные категории.

По подписке

Так же, как и чистые веб-службы на основе подписки (например, Netflix, Hulu, Dropbox, Salesforce и т. д.), Некоторые операторы RaaS могут предлагать доступ к различным типам служб, ориентированных на вымогателей, в обмен на фиксированную плату, оплачиваемую в биткойнах. или другую криптовалюту. С клиента может взиматься плата в конце каждого месяца или ежегодно.

Легко доступны и другие средства — например, у большинства поставщиков программ-вымогателей есть информационные панели, к которым пользователь может получить доступ с помощью пароля и имени пользователя — и те, и другие получены после приобретения подписки. Операции на панели управления могут варьироваться от управления виртуальным кошельком до настройки полезной нагрузки, бесплатных услуг, поддержки и многого другого.

Партнерская

Операторы RaaS, использующие партнерские программы, могут требовать процент от прибыли в дополнение к фиксированной цене. Взамен «бенефициар» получит дополнительную поддержку, ему может быть предоставлен доступ к функциям или контенту платного доступа, инструменты и/или специальный код, адаптированные к конкретным случаям, и т. д. снижение прибыли для большинства RaaS составляет где-то от 20% до 30%, возможно, в зависимости от профиля цели и «получателя…» потребности.

Пожизненное лицензирование

Бизнес-модель «покупка — раз — использование — навсегда» — некоторые операторы RaaS предпочитают продавать полностью лицензированные наборы программ-вымогателей или вредоносные инструменты, а не полагаться на пассивные доходы, генерируемые подписчиками или аффилированными лицами. Естественно, стандартные вредоносные инструменты значительно дороже подписки или участия в партнерской программе.

Более низкая рентабельность инвестиций не отменяет преимуществ одноразовых наборов RaaS — поскольку прозрачность бухгалтерского учета не является серьезной проблемой для операторов RaaS, одноразовая покупка может очень сильно снизить шансы на то, что продукт будет отслежен до бенефициар», если власти поймают оператора RaaS.

Партнерство

Заказчик превращается в соучастника преступления, поделившись добычей с оператором RaaS. Сокращения во многом зависят от того, как каждый участник вносит свой вклад в «проект».

Примеры крупнейших программ-вымогателей RaaS

1. Netwalker

Netwalker, вероятно, самый прибыльный набор программ-вымогателей. Продаваемые преступными группировками, такими как Circus Spider и Mummy Spider, «пользователи» и операторы Netwalker вымогали более 20 миллионов долларов всего за шесть месяцев. Netwalker — настоящий кошмар для бизнеса, благодаря своей смертоносной эффективности благодаря передовой криптографии и технике двойного вымогательства.

2. Стампадо

Набор Stampado RaaS продается всего за 39 долларов. Отсутствие функций наверняка компенсируется скоростью развертывания. Всплывающая реклама Stampedo показывает, что первую кампанию можно настроить за 30 секунд или меньше.

Кампания по продажам началась летом 2016 года или около того.

3. RaaSberry

RaaSberry действительно удается продемонстрировать грандиозные результаты, когда дело доходит до роли Доброго Самаритянина — в то время как другие провайдеры RaaS просят долю, RaaSberry позволяет клиенту сохранять всю прибыль.

Похоже, мечта хакера сбылась, не так ли? Не совсем. По сравнению с конкурентами RaaSberry может похвастаться несколькими ценовыми уровнями. Беглый взгляд на их веб-сайт показывает, что самые дешевые упаковки — это
«пластиковые».

Таким образом, по цене 60 долларов США, что соответствует месячной подписке на Command & Control, вы получите 250-килобайтный «уникальный EXE» (включает в себя как шифровальщик, так и дешифратор), бесплатную поддержку, совместимость с несколькими ОС и другие функции. такие как диспетчер задач Disabler, Mutex и отложенный запуск.

Поднимаясь по ценовой лестнице, у нас есть Platinum, трехлетняя подписка на C&C, которая стоит 650 долларов. Не так много различий между пакетами, кроме продолжительности членства.

4. Сатана

Новичок на рынке по сравнению с двумя другими, но не совсем безликий. Вместо уровней с фиксированной ценой или готовых к развертыванию комплектов Satan предлагает бесплатные образцы программ-вымогателей. По сути, любой может использовать их бесплатно при одном условии — 30% добычи достается провайдеру RaaS.

Платформа также позволяет пользователю создавать собственные схемы оплаты: пользователь может указать сумму выкупа, умноженную на дни, персонализированные заметки, которые будут отправлены жертве в случае несоблюдения, и способы оплаты, отличные от биткойнов.

5. Frozr Locker

Легкий инструмент, способный зашифровать около 250 типов расширений. Стоимость приобретения составляет около 1262 долларов, что делает его самым дорогим решением RaaS в этом списке.

Однако, как только построитель будет приобретен, его можно будет использовать бесконечно, без необходимости обновлять подписку. После покупки сборщика вы сможете настроить программу-вымогатель: платежные реквизиты, дешифратор, обход UAC и персонализированные сообщения.

Стратегии предотвращения атак программ-вымогателей

RaaS, безусловно, сложен, но не безупречен. Ниже вы найдете список советов по защите ваших цифровых активов от программ-вымогателей как услуги.

1. Сделайте резервную копию ваших конечных точек и серверов.

Лучшая защита от программ-вымогателей и любых других угроз — наличие системы резервного копирования. Вам следует подумать о наличии локальной, а также облачной резервной копии. Компании, работающие в более крупных сетях, могут выбрать резервное хранилище за пределами предприятия. В случае атаки программы-вымогателя важные данные могут быть восстановлены без выкупа.

2. Не открывайте подозрительные вложения.

Если бы действительно существовало золотое цифровое правило, так оно и было бы — не открывайте электронное письмо, содержащее вложения. Они могут быть заражены вредоносным ПО. Даже к электронному письму от кого-то знакомого следует относиться с некоторой долей подозрения.

Например, в атаках Business/Vendor Email Compromise хакеры могут украсть учетные данные и деньги, выдав себя за кого-то из высшего руководства.

3. Частая установка исправлений решает большинство ваших проблем.

Хакеры всегда стремятся извлечь выгоду из брешей в вашей сети безопасности, и устаревшее приложение предоставляет им наилучшие возможности. Убедитесь, что все ваши приложения обновлены.

4. Убедитесь, что макросы отключены в Microsoft Word.

Хотя Microsoft давно отключила автоматическое выполнение макросов, в некоторых старых сборках Office эта функция все еще может быть включена. Чтобы отключить макросы в Word, нажмите кнопку MS Office, а затем — Параметры Word. Нажмите Отключить все макросы без уведомления и нажмите кнопку Применить, чтобы зафиксировать изменения.

5. Защита шифрования от программ-вымогателей с отслеживанием состояния на основе антивируса

Программа-вымогатель использует два компонента: связь C2 и полезную нагрузку, размещаемую на хосте.

Вывод

Программа-вымогатель как услуга находится на подъеме, и причины более чем очевидны: дешево, просто в развертывании, мощно и практически не требует технических знаний. Лучшая защита от этого типа угроз — частая установка исправлений, надежное решение AV/AM и бдительность.

13 августа, 2021

Источник https://ib-bank.ru/bisjournal/news/16058

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Владимир Безмалый

О безопасности и не только