En specifik distributionsmodel for en bestemt type malware, ransomware as a service (Raas), er en betydelig trussel mod cybersikkerheden. Denne affiliate-form giver flere potentielle cyberkriminelle mulighed for at starte angreb uden den nødvendige tekniske og programmeringsmæssige ekspertise, hvilket gør ransomware-angreb mere udbredte.
I betragtning af hvor skadelig ransomware kan være, er det især vigtigt for virksomheder at forstå RaaS-implikationerne for cybersikkerhed, og hvorfor det er så afgørende at beskytte systemer mod ransomware.
Forstå ransomware as a service
Ransomware as a Service (RaaS) er en forretningsmodel, der specialiserer sig i en bestemt type af malware—ransomware,—og opererer på det mørke net (Dark Web) Kort sagt er det en ondsindet udvikling af den mere traditionelle og lovlige SaaS-model (Software as a Service), som bruges af mange store virksomheder, herunder Microsoft, Adobe, Shopify, Zoom og Dropbox. RaaS-forretningsmodellen går ud på at operatører skaber ransomware (og ofte et helt økosystem omkring det), og tilbyder det til tredjeparter. Cyberkriminelle kan "abonnere" gratis på Ransomware as a service (RaaS). Når de bliver partnere i programmet, betaler de for tjenesten efter angrebet sker i form af en procentdel af løsesummen.
Cyberangribere, der ønsker at udføre ransomware-angreb men mangler tid og evne til at udvikle deres egen malware, kan blot vælge en RaaS-løsning på det mørke net. De kan få adgang til ransomwaren og alle de nødvendige komponenter, såsom command-and-control (C2)-paneler, builders (programmer til hurtig oprettelse af unikke malwareeksempler), malware- og interfaceopgraderinger, support, instruktioner og hosting. De kan derefter starte deres angreb uden at skulle lave alt udviklingsarbejdet. På den måde kan ondsindede aktører udføre en sofistikeret kæde af ransomware-angreb uden at have nogen form for viden eller erfaring med at udvikle denne type malware.
Ofte udvikler operatører, der tilbyder ransomware as a service, et helt produkttilbud omkring deres malware. Det kan omfatte en bred vifte af tjenester som community-fora, playbooks til strategiske angreb og kundesupport. Dette er især nyttigt for potentielle angribere, der ikke har erfaring med cyberangreb. Yderligere RaaS-tjenester kan omfatte:
- Tilpasningsværktøjer til at skabe meget målrettede angreb
- Yderligere værktøjer, såsom programmer til dataeksfiltrering
- Community-fora til rådgivning og diskussion
- Playbooks til strategiske angreb
- Vejledninger til opsætning af panelet og produktet
- Manualer til angreb, som indeholder en beskrivelse af værktøjer, taktikker og teknikker for angribere.
Uanset hvilken type ransomware as a service, som angriberen vælger at bruge, er slutmålet altid det samme: at kompromittere en persons, eller organisations netværk og stjæle eller dekryptere data, og derefter få målet til at betale en løsesum.
Forskellen mellem malware, ransomware og ransomware as a service.
Malware er en generel betegnelse for enhver form for ondsindet software, der bruges til at få uautoriseret adgang til et IT-system eller en elektronisk enhed. Det kan være til forskellige formål, f.eks. datatyveri og systemforstyrrelser. Men, ransomware er en malware, der bruges til at inficere et måls system og kryptere eller ødelægge dets data; målet kan blive bedt om at betale en løsesum, det er deraf navnet kommer, for at forhindre angriberen i at offentliggøre oplysningerne eller for at modtage en dekrypteringsnøgle til at gendanne dataene, hvis de var krypterede.
Hvad er de juridiske konsekvenser af ransomware as a service (Raas)?
Da RaaS muliggør en bestemt type cyberkriminalitet, og da det fungerer på det mørke net, burde det stå lysende klart, at hele forretningsmodellen er ulovlig. Enhver form for involvering i branchen – hvad enten det er som operatør eller en affiliate ("abonnent") er ulovlig. Dette omfatter at gøre RaaS tilgængelig for salg, købe en RaaS med det formål at udføre ransomware-angreb, bryde ind i netværk, kryptere data eller afpresse for løsesum.
Hvordan fungerer ransomware as a service?
RaaS opererer via et organisatorisk hierarki. Øverst i hierakiet er operatøren – som regel en gruppe, der udvikler ransomwaren og gør den tilgængelig for salg. Operatøren fungerer i bund og grund som en administrator, der fører tilsyn med alle aspekter af RaaS' forretningsdrift, herunder styring af infrastrukturen og brugergrænsefladen. Ofte håndterer operatøren også udbetalingen af løsepenge og giver dekrypteringsnøglen til de ofre, der betaler. Inden for operatørgruppen kan der være mindre udpegede roller, herunder administratorer, udviklere og testteams.
RaaS-affiliates – "kunderne" køber adgang til RaaS for at kunne bruge operatørens ransomware i angreb. De identificerer angrebsmulighederne og sætter dem i værk. Partnerens rolle er at identificere mål, udføre ransomwaren, fastsætte løsesummen, styre kommunikationen efter angrebet og sende dekrypteringsnøgler, når løsesummen er betalt.
I Kasperskys seneste resultater for Anti-Ransomware Day 2023, blev de vigtigste indledende vektorer for ransomware-angreb i 2022 afsløret. Rapporten afslørede, at over 40 % af virksomhederne oplevede mindst ét ransomware-angreb sidste år, hvor små og mellemstore virksomheder i gennemsnit betalte 6.500 dollar for genopretning, og store virksomheder måtte punge ud med hele 98.000 dollar. Undersøgelsen udpegede de primære angrebspunkter, herunder udnyttelse af offentligt tilgængelige applikationer (43 %), kompromitterede brugerkonti (24 %) og ondsindede e-mails (12 %).
Når ransomwaren er downloadet til systemet, forsøger den at deaktivere endpoint-sikkerhedssoftware. Når angriberen har fået adgang, kan de geninstallere værktøjer og malware, som gør det muligt for dem at bevæge sig rundt på netværket og derefter udsende ransomwaren. Det giver dem mulighed for at bevæge sig rundt på netværket og derefter udrulle ransomwaren. De kan derefter sende et løsepengebrev efter at have krypteret filerne. Generelt sker det via en TXT-fil, der vises på offerets computer, og som fortæller dem, at deres system er blevet hacket, og at de skal betale en løsesum for at modtage en dekrypteringsnøgle, så de kan genvinde kontrollen.
Hvordan tjenes der penge på ransomware as a service?
Cyberkriminelle kan "abonnere" gratis på Ransomware as a service (RaaS). Når de bliver partnere i programmet, betaler de for tjenesten, efter at angrebet har fundet sted. Betalingsbeløbet bestemmes af en procentdel af den løsesum, som offeret betaler, typisk fra 10 procent til 40 procent af hver transaktion. Det er dog ikke nemt at komme ind i programmet, da det indebærer, at man skal opfylde strenge krav.
Eksempler på ransomware as a service, man bør kende til.
Cyberkriminelle er blevet dygtige til at udvikle deres ransomware-tjenester, så de altid kan opfylde kravene fra de "kunder", der køber RaaS. Der findes en lang række ransomware as a service-programmer (Raas) på det mørke net, og det kan være nyttigt at have et overblik over dem for at forstå, hvordan og hvorfor de udgør en trussel. Her er et par eksempler på ransomware as a service, der er blevet udbredt i de senere år.
- LockBit: Denne særlige ransomware har brudt ind i mange organisationers netværk ved at udnytte Server Message Blocks (SMB) og Microsofts PowerShell-automatiserings- og konfigurationsstyringsprogram.
- BlackCat: Ved at bruge Rust-programmering er denne ransomware nem at tilpasse og kan derfor implementeres mod mange forskellige systemarkitekturer.
- Hive: Hive er en særligt ondskabsfuld RaaS, der sætter sine mål under betydeligt pres og tvinger dem til at betale løsepenge ved at offentliggøre detaljer om systemindbruddet og ofte tælle ned til, hvornår de stjålne oplysninger vil blive lækket.
- Dharma: E-mails er den mest almindelige metode til at udføre phishing-angreb, og denne RaaS, som har været ansvarlig for hundredvis af angreb, efterligner disse angreb ved at ramme ofrene via vedhæftede filer i e-mails.
- DarkSide: Malwaren fra denne ransomware-gruppe menes at have været ansvarlig for Colonial Pipeline-bruddet i 2021.
- REvil: Denne ransomware er måske den mest udbredte RaaS-gruppe, og har været ansvarlig for angrebene i 2021 på Kaseya, som ramte omkring 1.500 organisationer, og CAN Financial.
10 tips til at beskytte enheder mod ransomware.
Ransomware er blot en af mange trusler, som folk skal være opmærksomme på, når de er online, og som kan være udfordrende og dyr at komme sig over. Selvom det er umuligt at neutralisere disse trusler fuldstændigt, er der et væld af foranstaltninger og bedste praksis, der kan forbedre cybersikkerheden mod RaaS, og faktisk afbøde mange digitale angreb. Her er 10 tips til at beskytte elektroniske enheder mod ransomware:
- Tag regelmæssigt backup af data på en separat enhed – lav om nødvendigt flere backups; organisationer bør også have en datagendannelsesplan på plads i tilfælde af et angreb.
- Brug robust endpoint-beskyttelsessoftware, der regelmæssigt scanner og fjerner potentielle trusler.
- Sørg for, at al software er opdateret og kører med de seneste sikkerhedsopdateringer.
- Aktivér multifaktor- eller biometrisk autentificering, hvor det er muligt.
- Husk adgangskodehygiejne – brug en pålidelig adgangskodeadministrator til at generere og gemme stærke adgangskoder og oprette forskellige logins til forskellige konti.
- Implementer stærk e-mailscanningssoftware til at fange ondsindede e-mails og potentielle phishing-angreb.
- Udvikl og vedligehold en robust cybersikkerhedspolitik: Vær opmærksom på den ydre perimeter og skab en omfattende cybersikkerhedspolitik, der dækker hele organisationen. Denne politik bør omfatte sikkerhedsprotokoller for fjernadgang, tredjepartsleverandører og medarbejdere.
- Da de stjålne legitimationsoplysninger kan blive sat til salg på det mørke net, skal du bruge Kaspersky Digital Footprint Intelligence til at overvåge skyggeressourcer og straks identificere relaterede trusler.
- Brug princippet om mindste privilegium til at minimere det administrative, eller systemadgang til så få personer som muligt.
- Implementer sikkerhedsbevidsthedsuddannelse, der dækker RaaS cybersikkerhed og andre potentielle trusler.
- Undgå at klikke på links i e-mails, medmindre kilden er kendt og pålidelig. Hvis du er i tvivl, så skriv webstedet i browserens søgefelt, og naviger til siden manuelt.
Selvfølgelig vil selv de strengeste beskyttelsesforanstaltninger ikke altid forhindre et ransomware-angreb. Når det værste sker, er der stadig nogle få muligheder for at afbøde eftervirkningerne af disse angreb.
Den vedvarende trussel fra ransomware as a service.
Ransomware er et cybersikkerhedsproblem i sig selv. Men forretningsmodellen ransomware as a service har gjort denne særlige malware til en meget større trussel ved at give flere potentielle cyberkriminelle mulighed for at starte disse angreb uden nogen særlig ekspertise eller viden. Fordi disse angreb kan have så alvorlige økonomiske konsekvenser for de organisationer eller enkeltpersoner, der rammes, er det vigtigt at forstå de forskellige metoder til at beskytte systemer mod ransomware-angreb. Mange af disse er grundlæggende best practices for cybersikkerhed, men organisationer bør måske overveje yderligere tiltag som sikkerhedstræning og regelmæssig backup af forskellige systemer.
Få Kaspersky Premium + 1 ÅRS GRATIS Kaspersky Safe Kids. Kaspersky Premium modtog fem AV-TEST-priser for bedste beskyttelse, bedste ydeevne, hurtigste VPN, godkendt forældrekontrol til Windows og bedste bedømmelse for forældrekontrol til Android.
Relaterede artikler og links:
Registrering og forebyggelse af malware
Relaterede produkter og tjenester: