Ransomware as a service (RaaS) ?!! Un nou serviciu pus la dispoziție de infractori cibernetici care va face ca incidenta ransomware sa crească exponențial.
Practic orice persoana care are acces la rețea interna a companiei poate deveni un vector de vulnerabilate instalând cu intenție o cale de acces pentru ransomware in speranța unei parte din plata răscumpărări.
Ransomware este un tip de virus care, o dată ajuns pe stația de lucru a victimei, compromite datele și solicită o plată, pentru recuperarea lor. Acesta folosește funcții avansate de criptare, pentru “a parola” informațiile de pe stația infectată. Pentru recuperarea acestora, victimele trebuie să plătească o sumă de bani, de obicei în Bitcoin.
Serviciile de “ransomware as a service” (RaaS) permit oricărei persoane cu intenții malițioase să își creeze propria versiune de ransomware, fără a avea nevoie de abilități tehnice. Datorită acestor servicii de RaaS, atacurile de tip ransomware s-au înmulțit considerabil în ultima perioadă.
Cum funcționează RaaS? Dezvoltatorii serviciului permit oricui să își creeze propriul ransomware, iar aceștia câștigă un procent din recompensele primite de la victime. Conform unui studiu efectuat de către compania de securitate Group-IB, peste două treimi dintre atacurile ransomware efectuate în 2020 au folosit la bază un serviciu de tip RaaS.
Există peste 15 tipuri de servicii de tip RaaS, motiv pentru care acest gen de atacuri s-a înmulțit foarte mult în ultima perioadă.
Ce trebuie să facă o companie, pentru a se proteja de atacuri de tip ransomware as a service ?
Cea mai eficientă strategie de atenuare a atacurilor de tip ransomware este o combinație de educare a personalului, de stabilire a mijloacelor de apărare și de monitorizare continuă a ecosistemului dumneavoastră pentru a detecta vulnerabilitățile.
- să folosească o soluție performantă de securitate
- sa folosească o soluție performata de backup
- să configureze corect firewall-ul companiei
- să ofere training angajaților, pentru a putea identifica mailurile și fișierele malițioase.
Haideți să luăm toate acestea pe rând.
- O soluție performantă de securitate oferă stației de lucru un nivel suplimentar de protecție. Scutul antiransomware detectează procesul de criptare al datelor și îl oprește, înainte ca acesta să compromită informațiile sensibile ale utilizatorilor.
În acest sens, se recomandă utilizarea unei soluții de securitate care se poate administra în mod centralizat, prin intermediul unei console cloud.
- O soluție performanta de backup – precum si o procedura de restaurarea rapida. Este de fapt singura soluție care te va proteja in cazul unui atac ransomware.
- O altă măsură de siguranța este configurarea corectă a firewall-ului companiei. O bună practică de securitate este să se dezactiveze la nivel de firewall toate serviciile care nu sunt necesare companiei. În acest fel, se reduce considerabil riscul ca o amenințare să ajungă pe una dintre stațiile companiei.
- De asemenea, securizarea serviciilor pe care utilizatorii le folosesc este esențială. Dacă, de exemplu, se utilizează Remote Desktop Connection pentru accesarea infrastructurii de la birou, este recomandat să se permită doar utilizatorilor care au această nevoie accesul și să nu se folosească port-ul implicit, pentru conectare.
- Este necesar ca și utilizatorii să fie în permanență informați legat de modurile prin care pot identifica mailurile de tip phishing și să fie atenți înainte de a face click pe atașamentele primite pe email sau pe alte fișiere.
Exemple de Ransomware as a Service (RaaS):
DarkSide
DarkSide este o operațiune RaaS asociată cu un grup de eCrime urmărit de CrowdStrike sub numele de CARBON SPIDER. Operatorii DarkSide s-au concentrat în mod tradițional asupra mașinilor Windows și s-au extins recent la Linux, vizând mediile de întreprindere care rulează hipervizoare VMware ESXi neprotejate sau furând acreditări vCenter. La 10 mai, FBI a indicat public că incidentul Colonial Pipeline a implicat ransomware-ul DarkSide. Ulterior, s-a raportat că Colonial Pipeline a avut aproximativ 100 GB de date furate din rețeaua sa, iar organizația ar fi plătit aproape 5 milioane de dolari americani unui afiliat DarkSide.
REvil
REvil, cunoscut și sub numele de Sodinokibi, a fost identificat ca fiind ransomware-ul din spatele uneia dintre cele mai mari cereri de răscumpărare înregistrate vreodată: 10 milioane de dolari. Acesta este vândut de grupul infracțional PINCHY SPIDER, care vinde RaaS în cadrul modelului de afiliere și care, de obicei, preia 40% din profituri.
La fel ca în cazul scurgerilor inițiale ale lui TWISTED SPIDER, PINCHY SPIDER avertizează victimele cu privire la scurgerea de date planificată, de obicei printr-o postare pe blogul lor DLS care conține mostre de date ca dovadă (a se vedea mai jos), înainte de a elibera cea mai mare parte a datelor după o anumită perioadă de timp. REvil va furniza, de asemenea, un link către postarea de pe blog în cadrul notei de răscumpărare. Acest link afișează scurgerea de informații pentru victima afectată înainte de a fi expusă publicului. La vizitarea linkului, va începe o numărătoare inversă, care va face ca scurgerea de informații să fie publicată după ce a trecut o anumită perioadă de timp.
Dharma
Atacurile ransomware Dharma au fost atribuite unui grup de amenințări iranian motivat financiar. Acest RaaS este disponibil pe dark web din 2016 și este asociat, în principal, cu atacurile prin protocolul de desktop la distanță (RDP). Atacatorii cer, de obicei, 1-5 bitcoini de la ținte dintr-o gamă largă de industrii.
Dharma nu este controlată la nivel central, spre deosebire de REvil și de alte kituri RaaS.
Variantele Dharma provin din mai multe surse, iar majoritatea incidentelor în care CrowdStrike a identificat Dharma au relevat o potrivire de aproape 100% între fișierele de probă. Singurele diferențe au fost cheile de criptare, e-mailul de contact și alte câteva lucruri care pot fi personalizate printr-un portal RaaS. Deoarece atacurile Dharma sunt aproape identice, vânătorii de amenințări nu pot folosi un incident pentru a afla prea multe despre cine se află în spatele unui atac Dharma și cum operează.
LockBit
În dezvoltare cel puțin din septembrie 2019, LockBit este disponibil ca RaaS, anunțat pentru utilizatorii vorbitori de limbă rusă sau vorbitori de limba engleză cu un garant vorbitor de limbă rusă. În mai 2020, un afiliat care operează LockBit a postat o amenințare de scurgere de date pe un forum criminal popular în limba rusă.
în plus față de amenințare, afiliatul furnizează dovezi, cum ar fi o captură de ecran a unui exemplu de document conținut în datele victimei. Odată ce trece termenul limită, se știe că afiliatul postează un link mega[.]nz pentru a descărca datele furate ale victimei. Acest afiliat a amenințat că va publica datele a cel puțin nouă victime.
Atacatorii vizează din ce în ce mai mult infrastructura critică și lanțurile de aprovizionare: energie, alimente, transporturi, servicii pentru cetățeni, sănătate. Aceste organizații au o fereastră scurtă de timp de întrerupere acceptabilă și, prin urmare, sunt mai susceptibile de a plăti.
Cine credea ca ransomware-ul pierde teren s-a înșelat, bătălia s-a mutat la nivelul următor.
Contactați-ne pentru un audit IT (link), prin care va putem oferi informații personalizate pentru protecția datelor companiei
RezolvIT este o companie de outsourcing IT care reușește cu succes să susțină companiile cu care lucrează, fie că ne referim la securizarea infrastructurii sau la facilitatea angajaților să își desfășoare activitatea remote.
Tags: raas, ransomwareCategorised in: Abonamente, Diverse, Sfaturi Utile, Toate
