Программа-вымогатель как услуга (RaaS) становится все более популярным инструментом среди киберпреступников. Я расскажу, что такое RaaS и как вы можете не стать его жертвой.

Программа-вымогатель как услуга (Ransomware as a Service — RaaS) — это тип сервиса вредоносных программ, запускаемой преступниками для преступников. Настройки RaaS во многом похожи на традиционные модели «Программное обеспечение как услуга» (SaaS). Большая разница в том, что в данном случае программа представляет собой инструмент, используемый для преступной деятельности, в частности, для координации атак программ-вымогателей.

Программы-вымогатели — это тип вредоносного ПО, которое обычно шифрует файлы и папки на устройстве жертвы и требует выкупа в обмен на безопасное возвращение зашифрованных данных. Мы наблюдаем всплеск атак программ-вымогателей во многих регионах мира, вероятно, отчасти из-за доступности программ-вымогателей через RaaS.

В данной мы с вами подробнее рассмотрим, что такое RaaS и как он работает, включая несколько примеров. А также раскрываем основные шаги, которые вы можете предпринять, чтобы защитить себя от программ-вымогателей.

 

Что такое программа-вымогатель как услуга?

По самым скромным оценкам, общая сумма потерь от программ-вымогателей с середины 2019 по середину 2020 года составила более 1 миллиарда долларов. Средний размер выкупа в 2020 году составил 170 404 доллара. Успешные атаки программ-вымогателей могут принести злоумышленникам огромную прибыль. А использование RaaS может быть недорогим и относительно простым делом.

В то время как преступник может легко выполнить программу-вымогатель, разработка самой вредоносной программы требует технической смекалки и навыков. Это тип программного обеспечения, доступного для продажи в Интернете, обычно находится в даркнете. Разработчики создают программы-вымогатели и продают их для широкого использования.

Создатели рекламируют программное обеспечение для продажи, аналогично тому, как другие поставщики программного обеспечения продвигают законные услуги в открытой сети. Продавцы создают профессиональные веб-сайты, размещают рекламу в социальных сетях, размещают видеорекламу и технические документы и продвигают отзывы пользователей. Некоторые из них предоставляют круглосуточную техническую поддержку, форумы пользователей, документацию по поддержке и регулярные обновления.

Программы-вымогатели можно настраивать, и покупателям часто предоставляются элегантные интерфейсы, в которых они могут настраивать свои вредоносные программы. Некоторые панели мониторинга позволяют пользователям просматривать информацию о целях, например о том, где была запущена вредоносная программа, сколько файлов было зашифровано и сколько выкупов было заплачено.

Преступники, просматривающие варианты RaaS, могут получить специальные предложения и выбрать одну из различных моделей подписки. Они аналогичны предложениям традиционных поставщиков SaaS и могут принимать одну из следующих форм:

  • Единовременная плата за лицензию: Предоставляет неограниченный доступ к услуге без будущих платежей.
  • Ежемесячная ставка: покупатели платят фиксированную ежемесячную плату.
  • Распределение прибыли: оператор получает долю прибыли от каждой успешной атаки, аналогично партнерской программе.

Некоторые модели могут включать комбинацию типов оплаты. Например, участие в прибыли можно комбинировать с лицензионным платежом или ежемесячной оплатой.

В то время как некоторые модели RaaS позволяют менее опытным преступникам зарабатывать деньги на программах-вымогателях, многие провайдеры RaaS очень разборчивы в отношении филиалов, с которыми они работают. Разработчики создают вредоносное ПО, но их прибыль часто зависит от способности аффилированных лиц распространять его. Некоторые создатели внедряют жесткие процессы отбора, чтобы гарантировать, что они работают только с партнерами, которые принесут им хорошую прибыль.

 

Примеры программ-вымогателей как услуги

Было обнаружено множество различных типов RaaS. Операторы постоянно разрабатывают новое и более совершенное программное обеспечение. Ниже приведены некоторые примеры печально известных программ-вымогателей, которые распространяются через модель RaaS.

 

Egregor

Egregor — относительно новый RaaS. Операторы, разработавшие программу-вымогатель, управляют платежным сайтом, а филиалы взламывают корпоративные сети и развертывают вредоносное ПО. Сообщается, что Egregor работает по партнерской системе, при этом разработчики получают 20-30% выкупа, а остальная часть идет аффилированным лицам.

Считается, что Egregor, запущенный в сентябре 2020 года, был заменой Maze RaaS, который прекратил свою деятельность примерно в то же время.

За последний год атакам Egregor подверглись несколько французских организаций, в том числе Ouest France, Ubisoft и Gefco. Недавно во Франции было произведено несколько арестов в связи с вымогательством Egregor.

 

REvil

Сообщается, что разработчики REvil RaaS очень разборчивы в том, с кем они работают. Кандидаты на участие в программе должны подтвердить свой опыт взлома, прежде чем они будут приняты.

REvil имеет длинный список жертв, включая Travelex, Brown-Forman, Cyrus One и SeaChange International. Сообщается, что за год он принес разработчикам 100 миллионов долларов. Эта программа-вымогатель, по всей видимости, в значительной степени нацелена на компании юридического, страхового и сельскохозяйственного секторов.

REvil использует несколько иной способ зарабатывания денег на традиционных схемах вымогательства. Помимо требования выкупа в обмен на безопасное возвращение файлов, он также угрожает утечкой украденных данных и дальнейшим вымогательством жертв .

Группа REvil отвечает за самый крупный на сегодняшний день запрос на выкуп. В марте 2021 года он запросил 50 миллионов долларов у производителя электроники Acer.

 

Dharma

Dharma — это далеко не новость на сцене RaaS, и она работает с 2017 года. Она заменяет файлы с расширением .dharma. Требования выкупа Дхармы, как правило, находятся на более низком уровне по сравнению с другими RaaS, в среднем около 9000 долларов .

Провайдеры предлагают очень простой в использовании комплект, который позволяет менее опытным хакерам присоединиться к ним в качестве аффилированных лиц. Легкость входа может быть связана с меньшей полезной нагрузкой.

 

Cerber

Cerber — еще одна программа-вымогатель, предлагаемая как RaaS. Это вредоносное ПО имеет ряд каналов распространения, включая фишинговые электронные письма, вредоносную рекламу (рекламу, зараженную вредоносным ПО) и вредоносные веб-сайты. Обычно это работает по партнерской модели, когда партнеры получают 40-процентную скидку от суммы выкупа.

Другие операции RaaS включают Locky, LockBit, Goliath, Shark, Stampado, Encryptor, Jokeroo, Ragnarok, ProLock, CryLock и Nefilim.

 

Как можно защититься от RaaS?

Когда мы обсуждаем, как защититься от RaaS, мы, по сути, говорим о том, как защитить себя от программ-вымогателей.

Вот как остановить программу-вымогатель как услугу:

  • Научитесь обнаруживать вредоносные электронные письма. Поскольку электронная почта является обычным средством распространения программ-вымогателей, важно ознакомиться с общими признаками вредоносных электронных писем, рекламы и сайтов. Золотое правило — никогда не нажимать на ссылку или вложение, если вы не уверены, что можете доверять источнику.
  • Используйте надежный брандмауэр: брандмауэр может выступать в качестве вашей первой линии защиты и предотвращать проникновение определенных типов вредоносных программ в вашу систему.
  • Купите надежное антивирусное программное обеспечение: антивирусное программное обеспечение будет отслеживать и блокировать известные угрозы, включая многие виды вымогателей.
  • Обновляйте программное обеспечение: обновления обычно включают исправления безопасности, устраняющие уязвимости. Задержка обновлений может сделать вашу систему уязвимой.
  • Поддерживайте актуальные резервные копии: рекомендуется хранить несколько резервных копий в разных местах. При определении частоты резервного копирования подумайте, сколько данных вы можете позволить себе потерять, например, стоимость часа, стоимость дня и т. д. Также важно протестировать резервные копии, чтобы убедиться, что данные можно получить.

16 июня, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
11.10.2024
Оплата картой «Мир» в Никарагуа — вопрос перспективы
11.10.2024
CISA и ФБР опасаются, что иранские хакеры могут навредить выборам
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных