Τι είναι το ransomware-as-a-service και πώς εξελίσσεται;

Οι επιθέσεις ransomware γίνονται όλο και πιο συχνές και δαπανηρές – οι παραβιάσεις που προκαλούνται από ransomware αυξήθηκαν κατά 41 τοις εκατό τον τελευταίο χρόνο, ενώ το μέσο κόστος μιας καταστροφικής επίθεσης αυξήθηκε στα 5.12 εκατομμύρια δολάρια. Επιπλέον, ένα μεγάλο μέρος των εγκληματιών του κυβερνοχώρου που κάνουν αυτές τις επιθέσεις λειτουργούν με ένα μοντέλο ransomware-as-a-service (RaaS).

Το RaaS δεν διαφέρει πολύ, θεωρητικά, από το επιχειρηματικό μοντέλο software-as-a-service (SaaS), όπου οι πάροχοι cloud «νοικιάζουν» την τεχνολογία τους σε εσάς σε συνδρομητική βάση – απλώς ανταλλάξτε τους «παρόχους cloud» με «ransomware gangs» και «τεχνολογία» με «ransomware» (και τα σχετικά εγκλήματα που εμπλέκονται).

Σε αυτήν την ανάρτηση, θα μιλήσουμε περισσότερο για το πώς λειτουργεί το RaaS, γιατί αποτελεί μοναδική απειλή για τις επιχειρήσεις και πώς οι μικρές και μεσαίες επιχειρήσεις (ΜΜΕ) μπορούν να προετοιμαστούν για την επόμενη γενιά επιθέσεων RaaS.

Πώς λειτουργεί το ransomware-as-a-service;

Οι RaaS gangs δεν είναι οι χάκερς που θέλουν να κερδίσουν μερικές εκατοντάδες δολάρια. Αφορούν σε μεγάλες, εξελιγμένες επιχειρήσεις με έως και εκατό υπαλλήλους – LockBit, BlackBasta και AvosLocker είναι μόνο μερικές από τις RaaS gangs που καλύπτει η Malwarebytes στη μηνιαία αναφορά της σε ransomware.

«Αυτό λειτουργεί ως επιχείρηση», λέει ο Mark Stockley, Security Evangelist στη Malwarebytes. «Έχεις προγραμματιστές, έχεις μάνατζερ, έχεις ίσως μερικά επίπεδα ανθρώπων που κάνουν τις διαπραγματεύσεις, τέτοια πράγματα. Και αυτές οι συμμορίες έχουν κερδίσει εκατοντάδες εκατομμύρια δολάρια κάθε χρόνο τα τελευταία χρόνια».

Οι RaaS gangs όπως το LockBit κερδίζουν χρήματα πουλώντας “RaaS kits” και άλλες υπηρεσίες σε ομάδες που ονομάζονται affiliates και που ξεκινούν πραγματικά τις επιθέσεις ransomware. Με άλλα λόγια, οι συνεργάτες (affiliates) δεν χρειάζονται ιδιαίτερες τεχνικές δεξιότητες ή γνώσεις για να πραγματοποιήσουν επιθέσεις. Συνεργαζόμενοι στενά με τους «Initial Access Brokers» (IABs), ορισμένες RaaS gangs μπορούν ακόμη και να προσφέρουν στους συνεργάτες άμεση πρόσβαση στο δίκτυο μιας εταιρείας.

Πώς το ransomware ως υπηρεσία άλλαξε το παιχνίδι

Ας επιστρέψουμε στο έτος 2015. Αυτές ήταν οι «καλές μέρες» όπου οι επιθέσεις ransomware ήταν αυτοματοποιημένες και πραγματοποιούνταν σε πολύ μικρότερη κλίμακα.

Η διαδικασία πήγαινε ως εξής: κάποιος θα σας έστελνε ένα μήνυμα ηλεκτρονικού ταχυδρομείου με ένα συνημμένο, θα κάνατε διπλό κλικ σε αυτό και το ransomware θα έτρεχε στο μηχάνημά σας. Θα κλειδωνόσασταν έξω από το μηχάνημά σας και θα έπρεπε να πληρώσετε περίπου 300 $ σε Bitcoin για να το ξεκλειδώσετε. Οι επιτιθέμενοι θα έστελναν πολλά από αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου, πολλοί άνθρωποι θα προέβαιναν σε κρυπτογράφηση και πολλοί άνθρωποι θα τους πλήρωναν μερικές εκατοντάδες δολάρια. Αυτό ήταν το επιχειρηματικό μοντέλο με λίγα λόγια.

Αλλά τότε οι ransomware gangs μυρίστηκαν μια χρυσή ευκαιρία.

Αντί να επιτίθενται σε μεμονωμένα τελικά σημεία, συνειδητοποίησαν ότι θα μπορούσαν να στοχεύσουν οργανισμούς για περισσότερα χρήματα. Οι αυτοματοποιημένες εκστρατείες άλλαξαν σε εκστρατείες που διαχειρίζονται από ανθρώπους (human-operated attacks), όπου η επίθεση ελέγχεται από έναν χειριστή. Σε τέτοιου είδους επιθέσεις, οι επιτιθέμενοι προσπαθούν σκληρά να σφηνωθούν σε ένα δίκτυο, ώστε να μπορούν να κινούνται πλευρικά σε έναν οργανισμό.

Στην πρώτη γραμμή αυτής της εξέλιξης από αυτοματοποιημένο ransomware σε επιθέσεις ransomware που διαχειρίζονται από τον άνθρωπο είναι οι ransomware-as-a-service gangs- και το νέο επιχειρηματικό τους μοντέλο φαίνεται να αποδίδει: το 2021, οι ransomware gangs έβγαλαν τουλάχιστον 350 εκατομμύρια δολάρια σε πληρωμές λύτρων.

Γιατί οι επιθέσεις ransomware-as-a-service είναι τόσο επικίνδυνες

Το γεγονός ότι οι επιθέσεις RaaS διαχειρίζονται από τον άνθρωπο σημαίνει ότι οι επιθέσεις ransomware είναι πιο στοχευμένες από ό, τι στο παρελθόν – και οι στοχευμένες επιθέσεις είναι πολύ πιο επικίνδυνες από τις μη στοχευμένες.

Σε στοχευμένες επιθέσεις, οι επιτιθέμενοι ξοδεύουν περισσότερο χρόνο, πόρους και προσπάθεια για να διεισδύσουν σε ένα επιχειρηματικό δίκτυο και να κλέψουν πληροφορίες. Τέτοιες επιθέσεις συχνά εκμεταλλεύονται γνωστές αδυναμίες ασφαλείας για να αποκτήσουν πρόσβαση, με τους επιτιθέμενους να περνούν μέρες έως και μήνες στο δίκτυό σας.

Ο ανθρώπινος παράγοντας των επιθέσεων RaaS σημαίνει επίσης ότι οι συνεργάτες – RaaS affiliates – μπορούν να ελέγξουν ακριβώς πότε θα ξεκινήσουν μια επίθεση – συμπεριλαμβανομένων των περιόδων όπου οι οργανισμοί είναι πιο ευάλωτοι, όπως σε αργίες ή Σαββατοκύριακα.

«Είναι γνωστό ότι οι RaaS affiliates αγαπούν τα Σαββατοκύριακα», δήλωσε ο Stockley. «Θέλουν να εκτελέσουν το ransomware όταν δεν πρόκειται να το παρατηρήσετε, να δώσουν στον εαυτό τους όσο χρόνο χρειάζονται για να ολοκληρωθεί η κρυπτογράφηση. Τους αρέσει λοιπόν να το κάνουν τη νύχτα, τους αρέσει να το κάνουν κατά τη διάρκεια των διακοπών».

«Έχεις να κάνεις με ένα άτομο», συνέχισε ο Στόκλεϊ. «Δεν πρόκειται για λογισμικό που τρέχει προσπαθώντας να καταλάβει τα πάντα. Είναι ένα άτομο που προσπαθεί να καταλάβει τα πάντα. Και προσπαθούν να καταλάβουν ποιος είναι ο καλύτερος τρόπος για να σου επιτεθούν».

Είναι το ransomware εδώ για να μείνει; Η εξέλιξη των επιθέσεων RaaS

Μία από τις μεγαλύτερες καινοτομίες στον χώρο RaaS τα τελευταία χρόνια ήταν η χρήση συστημάτων διπλού εκβιασμού, όπου οι επιτιθέμενοι κλέβουν δεδομένα πριν από την κρυπτογράφηση και απειλούν να τα διαρρεύσουν εάν δεν καταβληθούν τα λύτρα.

Οι εταιρείες έχουν εξοικειωθεί περισσότερο με το ransomware και έχουν προετοιμαστεί καλύτερα όσον αφορά πράγματα όπως τα αντίγραφα ασφαλείας, για παράδειγμα. Αλλά εάν οι RaaS affiliates έχουν ήδη εισβάλλει στο περιβάλλον σας, μπορούν απλά να χρησιμοποιήσουν κλεμμένα δεδομένα ως επιπλέον μόχλευση, διαρρέοντας κομμάτια τους για να τραβήξουν την προσοχή σας, να επιταχύνουν τις διαπραγματεύσεις ή να αποδείξουν τι είδους πρόσβαση έχουν.  

Όλες οι RaaS gangs αυτές τις μέρες κάνουν διπλό εκβιασμό, διαρρέοντας δεδομένα σε αποκλειστικούς ιστότοπους διαρροής στον σκοτεινό ιστό. Πολλά προγράμματα RaaS διαθέτουν ακόμη και μια σουίτα προσφορών υποστήριξης εκβιασμού, συμπεριλαμβανομένης της φιλοξενίας ιστότοπων διαρροής. Όχι μόνο αυξάνεται αυτή η τάση, αλλά υπάρχει συζήτηση σχετικά με το αν η μεμονωμένη διαρροή δεδομένων είναι το επόμενο στάδιο εξέλιξης για το RaaS.

«Υπάρχουν τώρα συμμορίες που κάνουν μόνο διαρροή δεδομένων και δεν μπαίνουν καθόλου στον κόπο να κάνουν την κρυπτογράφηση», είπε ο Στόκλεϊ. «Επειδή είναι αρκετά επιτυχής. Και δεν χρειάζεται να ανησυχούν για το λογισμικό, δεν χρειάζεται να ανησυχούν για τον εντοπισμό λογισμικού, δεν χρειάζεται να ανησυχούν για την εκτέλεσή του.»

Με άλλα λόγια, η εξέλιξη από το RaaS που εστιάζει στο ransomware σε RaaS που «εστιάζει στη διαρροή» σημαίνει ότι οι επιχειρήσεις πρέπει να επανεξετάσουν τη φύση του προβλήματος: Δεν πρόκειται για ransomware καθαυτό, πρόκειται για εισβολέα στο δίκτυό σας. Το πραγματικά επικίνδυνο πράγμα αποδεικνύεται ότι είναι η πρόσβαση, όχι το ίδιο το λογισμικό ransomware.

Πώς μπορούν οι μικρομεσαίες επιχειρήσεις να προστατευθούν από το RaaS επόμενης γενιάς

Η προετοιμασία για επιθέσεις RaaS δεν διαφέρει από την προετοιμασία για επιθέσεις ransomware γενικά και οι συμβουλές δεν πρόκειται να διαφέρουν τόσο πολύ σε επιχειρήσεις ή κλάδους διαφορετικού μεγέθους. Επειδή η επόμενη γενιά RaaS επικεντρώνεται τόσο πολύ στην εισβολή, ωστόσο, οι μικρομεσαίες επιχειρήσεις έχουν τις δικές τους μοναδικές προκλήσεις στην καταπολέμησή της.

Η παρακολούθηση ενός δικτύου 24 ώρες το 24ωρο, 7 ημέρες την εβδομάδα για σημάδια εισβολής RaaS είναι σκληρή δουλειά, πόσο μάλλον για οργανισμούς με μικρούς προϋπολογισμούς και σχεδόν καθόλου προσωπικό ασφαλείας. Σκεφτείτε το γεγονός ότι, όταν ένας παράγοντας απειλής παραβιάζει ένα δίκτυο-στόχο, δεν επιτίθεται αμέσως. Ο διάμεσος αριθμός ημερών μεταξύ της παραβίασης του συστήματος και της ανίχνευσης είναι 21 ημέρες.

Μέχρι τότε, είναι συχνά πολύ αργά. Έχουν συλλεχθεί δεδομένα ή έχει αναπτυχθεί ransomware. Στην πραγματικότητα, το 23 τοις εκατό των εισβολών οδηγούν σε ransomware, το 29 τοις εκατό σε κλοπή δεδομένων και το 30 τοις εκατό για την εκμετάλλευση δραστηριότητας – όταν οι αντίπαλοι χρησιμοποιούν ευπάθειες για να ξεκινήσουν περαιτέρω εισβολές.

Ακόμη και με εργαλεία όπως το EDR, το SIEM και το XDR, το κοσκίνισμα των ειδοποιήσεων και η αναγνώριση δεικτών συμβιβασμού (IOCs) είναι το έργο έμπειρων κυνηγών απειλών στον κυβερνοχώρο – ταλέντα που οι μικρομεσαίες επιχειρήσεις απλά δεν μπορούν να αντέξουν οικονομικά. Αυτός είναι ο λόγος για τον οποίο η επένδυση στη διαχειριζόμενη ανίχνευση και απόκριση – Managed Detection and Response (MDR) – είναι εξαιρετικά επωφελής για τις μικρομεσαίες επιχειρήσεις που θέλουν να αντιμετωπίσουν τις επιθέσεις RaaS.

«Προφανώς, το πιο οικονομικό είναι να μην αφήνουμε τους ανθρώπους να εισβάλουν πρώτα από όλα. Και αυτός είναι ο λόγος για τον οποίο πράγματα όπως η ενημέρωση κώδικα, ο έλεγχος ταυτότητας δύο παραγόντων και η προστασία τελικού σημείου multi-vector Endpoint Protection (EP) είναι τόσο σημαντικά », δήλωσε ο Stockley. «Αλλά στο σημείο που έχουν εισβάλει, τότε θέλεις να τους εντοπίσεις πριν κάνουν κάτι κακό. Εκεί μπαίνει το MDR».

Ο τέλειος συνδυασμός one-two combo για την καταπολέμηση του RaaS

Οι επιθέσεις RaaS που διαχειρίζονται από τον άνθρωπο, είναι στοχευμένες και εύκολες στην εκτέλεση, είναι μια επικίνδυνη εξέλιξη στην ιστορία του ransomware.

Οι τακτικές διπλού εκβιασμού, όπου οι επιτιθέμενοι απειλούν να διαρρεύσουν κλεμμένα δεδομένα στον σκοτεινό ιστό, είναι ένα άλλο σημαντικό εξελικτικό στάδιο των εκστρατειών RaaS σήμερα – σε σημείο που το ίδιο το ransomware μπορεί να καταστεί παρωχημένο στο μέλλον. Ως αποτέλεσμα, οι μικρομεσαίες επιχειρήσεις θα πρέπει να επικεντρώσουν τις προσπάθειές τους κατά του RaaS στην ανίχνευση εισβολέων με MDR, εκτός από την εφαρμογή βέλτιστων πρακτικών πρόληψης και ανθεκτικότητας σε ransomware.

Πηγή άρθρου: https://www.malwarebytes.com/blog/business/2022/10/what-is-ransomware-as-a-service-and-how-is-it-evolving