Программа-вымогатель как услуга (RaaS) становится все более популярным инструментом среди киберпреступников. Я расскажу, что такое RaaS и как вы можете не стать его жертвой.

Программа-вымогатель как услуга (Ransomware as a Service — RaaS) — это тип сервиса вредоносных программ, запускаемой преступниками для преступников. Настройки RaaS во многом похожи на традиционные модели «Программное обеспечение как услуга» (SaaS). Большая разница в том, что в данном случае программа представляет собой инструмент, используемый для преступной деятельности, в частности, для координации атак программ-вымогателей.

Программы-вымогатели — это тип вредоносного ПО, которое обычно шифрует файлы и папки на устройстве жертвы и требует выкупа в обмен на безопасное возвращение зашифрованных данных. Мы наблюдаем всплеск атак программ-вымогателей во многих регионах мира, вероятно, отчасти из-за доступности программ-вымогателей через RaaS.

В данной мы с вами подробнее рассмотрим, что такое RaaS и как он работает, включая несколько примеров. А также раскрываем основные шаги, которые вы можете предпринять, чтобы защитить себя от программ-вымогателей.

 

Что такое программа-вымогатель как услуга?

По самым скромным оценкам, общая сумма потерь от программ-вымогателей с середины 2019 по середину 2020 года составила более 1 миллиарда долларов. Средний размер выкупа в 2020 году составил 170 404 доллара. Успешные атаки программ-вымогателей могут принести злоумышленникам огромную прибыль. А использование RaaS может быть недорогим и относительно простым делом.

В то время как преступник может легко выполнить программу-вымогатель, разработка самой вредоносной программы требует технической смекалки и навыков. Это тип программного обеспечения, доступного для продажи в Интернете, обычно находится в даркнете. Разработчики создают программы-вымогатели и продают их для широкого использования.

Создатели рекламируют программное обеспечение для продажи, аналогично тому, как другие поставщики программного обеспечения продвигают законные услуги в открытой сети. Продавцы создают профессиональные веб-сайты, размещают рекламу в социальных сетях, размещают видеорекламу и технические документы и продвигают отзывы пользователей. Некоторые из них предоставляют круглосуточную техническую поддержку, форумы пользователей, документацию по поддержке и регулярные обновления.

Программы-вымогатели можно настраивать, и покупателям часто предоставляются элегантные интерфейсы, в которых они могут настраивать свои вредоносные программы. Некоторые панели мониторинга позволяют пользователям просматривать информацию о целях, например о том, где была запущена вредоносная программа, сколько файлов было зашифровано и сколько выкупов было заплачено.

Преступники, просматривающие варианты RaaS, могут получить специальные предложения и выбрать одну из различных моделей подписки. Они аналогичны предложениям традиционных поставщиков SaaS и могут принимать одну из следующих форм:

  • Единовременная плата за лицензию: Предоставляет неограниченный доступ к услуге без будущих платежей.
  • Ежемесячная ставка: покупатели платят фиксированную ежемесячную плату.
  • Распределение прибыли: оператор получает долю прибыли от каждой успешной атаки, аналогично партнерской программе.

Некоторые модели могут включать комбинацию типов оплаты. Например, участие в прибыли можно комбинировать с лицензионным платежом или ежемесячной оплатой.

В то время как некоторые модели RaaS позволяют менее опытным преступникам зарабатывать деньги на программах-вымогателях, многие провайдеры RaaS очень разборчивы в отношении филиалов, с которыми они работают. Разработчики создают вредоносное ПО, но их прибыль часто зависит от способности аффилированных лиц распространять его. Некоторые создатели внедряют жесткие процессы отбора, чтобы гарантировать, что они работают только с партнерами, которые принесут им хорошую прибыль.

 

Примеры программ-вымогателей как услуги

Было обнаружено множество различных типов RaaS. Операторы постоянно разрабатывают новое и более совершенное программное обеспечение. Ниже приведены некоторые примеры печально известных программ-вымогателей, которые распространяются через модель RaaS.

 

Egregor

Egregor — относительно новый RaaS. Операторы, разработавшие программу-вымогатель, управляют платежным сайтом, а филиалы взламывают корпоративные сети и развертывают вредоносное ПО. Сообщается, что Egregor работает по партнерской системе, при этом разработчики получают 20-30% выкупа, а остальная часть идет аффилированным лицам.

Считается, что Egregor, запущенный в сентябре 2020 года, был заменой Maze RaaS, который прекратил свою деятельность примерно в то же время.

За последний год атакам Egregor подверглись несколько французских организаций, в том числе Ouest France, Ubisoft и Gefco. Недавно во Франции было произведено несколько арестов в связи с вымогательством Egregor.

 

REvil

Сообщается, что разработчики REvil RaaS очень разборчивы в том, с кем они работают. Кандидаты на участие в программе должны подтвердить свой опыт взлома, прежде чем они будут приняты.

REvil имеет длинный список жертв, включая Travelex, Brown-Forman, Cyrus One и SeaChange International. Сообщается, что за год он принес разработчикам 100 миллионов долларов. Эта программа-вымогатель, по всей видимости, в значительной степени нацелена на компании юридического, страхового и сельскохозяйственного секторов.

REvil использует несколько иной способ зарабатывания денег на традиционных схемах вымогательства. Помимо требования выкупа в обмен на безопасное возвращение файлов, он также угрожает утечкой украденных данных и дальнейшим вымогательством жертв .

Группа REvil отвечает за самый крупный на сегодняшний день запрос на выкуп. В марте 2021 года он запросил 50 миллионов долларов у производителя электроники Acer.

 

Dharma

Dharma — это далеко не новость на сцене RaaS, и она работает с 2017 года. Она заменяет файлы с расширением .dharma. Требования выкупа Дхармы, как правило, находятся на более низком уровне по сравнению с другими RaaS, в среднем около 9000 долларов .

Провайдеры предлагают очень простой в использовании комплект, который позволяет менее опытным хакерам присоединиться к ним в качестве аффилированных лиц. Легкость входа может быть связана с меньшей полезной нагрузкой.

 

Cerber

Cerber — еще одна программа-вымогатель, предлагаемая как RaaS. Это вредоносное ПО имеет ряд каналов распространения, включая фишинговые электронные письма, вредоносную рекламу (рекламу, зараженную вредоносным ПО) и вредоносные веб-сайты. Обычно это работает по партнерской модели, когда партнеры получают 40-процентную скидку от суммы выкупа.

Другие операции RaaS включают Locky, LockBit, Goliath, Shark, Stampado, Encryptor, Jokeroo, Ragnarok, ProLock, CryLock и Nefilim.

 

Как можно защититься от RaaS?

Когда мы обсуждаем, как защититься от RaaS, мы, по сути, говорим о том, как защитить себя от программ-вымогателей.

Вот как остановить программу-вымогатель как услугу:

  • Научитесь обнаруживать вредоносные электронные письма. Поскольку электронная почта является обычным средством распространения программ-вымогателей, важно ознакомиться с общими признаками вредоносных электронных писем, рекламы и сайтов. Золотое правило — никогда не нажимать на ссылку или вложение, если вы не уверены, что можете доверять источнику.
  • Используйте надежный брандмауэр: брандмауэр может выступать в качестве вашей первой линии защиты и предотвращать проникновение определенных типов вредоносных программ в вашу систему.
  • Купите надежное антивирусное программное обеспечение: антивирусное программное обеспечение будет отслеживать и блокировать известные угрозы, включая многие виды вымогателей.
  • Обновляйте программное обеспечение: обновления обычно включают исправления безопасности, устраняющие уязвимости. Задержка обновлений может сделать вашу систему уязвимой.
  • Поддерживайте актуальные резервные копии: рекомендуется хранить несколько резервных копий в разных местах. При определении частоты резервного копирования подумайте, сколько данных вы можете позволить себе потерять, например, стоимость часа, стоимость дня и т. д. Также важно протестировать резервные копии, чтобы убедиться, что данные можно получить.

16 июня, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных