Pesquisa de site

Ransomware como serviço explicado

O ransomware como serviço (RaaS) permite que criminosos menos experientes em tecnologia usem malware pronto para realizar ataques avançados de ransomware. Uma versão ilegal dos modelos de negócios como serviço (por exemplo, SaaS ou PaaS), o RaaS concede acesso a software malicioso de nível especializado que é fácil de usar contra quem quer que o “cliente” decida atingir.

Este artigo explica tudo o que você precisa saber sobre Ransomware como serviço (o que é RaaS, como funciona, por que tantos criminosos o consideram atraente, etc.). Também apresentamos as maneiras mais eficazes de se proteger contra ataques do tipo RaaS.

Preocupado com ransomware? Você não está paranóico - 71% de todas as empresas em todo o mundo foram alvo de um ataque em 2022. Mantenha seus dados seguros com os serviços de proteção contra ransomware do pNAP e nossa combinação exclusiva de backups imutáveis e recuperação de desastres baseada em nuvem.

O que é ransomware como serviço (RaaS)?

Ransomware como serviço (RaaS) é um “modelo de negócios” pago pelo uso que permite que criminosos aluguem malware pré-desenvolvido para realizar ataques de ransomware. RaaS beneficia ambas as partes criminosas:

  • Operadores RaaS (autores de ransomware) assumem menos riscos pessoais, escalam ataques e recebem uma porcentagem de cada resgate pago.
  • Afiliados RaaS (invasores que distribuem ransomware) têm acesso a software de primeira linha, o que torna o Ransomware como serviço ideal para criminosos que não têm habilidade ou tempo para criar malware personalizado.

Aqui está o que um kit RaaS típico oferece:

  • Software ransomware que criptografa arquivos específicos no sistema do alvo.
  • Acesso a um servidor de comando e controle (C&C).
  • Instruções detalhadas sobre como usar o programa ransomware e a infraestrutura C&C.
  • Um sistema de processamento de pagamentos através do qual as vítimas pagam o resgate em criptomoedas.
  • Um painel que permite aos afiliados rastrear campanhas, monitorar o número de infecções e visualizar pagamentos acumulados.
  • Recursos adicionais que ajudam na entrega de ransomware (por exemplo, ferramentas de exfiltração de dados, modelos de e-mail de phishing, kits de exploração, sites infectados por malware, etc.).
  • Uma plataforma para vazamento de dados roubados (normalmente um site ou canal do Telegram) caso a vítima decida não pagar o resgate.

A maioria dos kits tem opções de personalização que permitem que um afiliado ajuste certos aspectos do programa (por exemplo, valores de resgate, tipos de arquivos a serem criptografados, conteúdo da nota de resgate, etc.). Algumas operadoras de RaaS também oferecem benefícios comumente oferecidos por provedores de SaaS legítimos, como:

  • Suporte dedicado 24 horas por dia, 7 dias por semana.
  • Artigos detalhados.
  • Playbooks e folhas de dicas.
  • Cursos de treinamento e vídeos.
  • Patch automático.
  • Acesso a fóruns afiliados e grupos de bate-papo.

Os kits são fáceis de encontrar na dark web, onde os autores anunciam pacotes RaaS como se estivessem promovendo produtos legítimos. O preço dos kits RaaS varia de US$40/mês a alguns milhares de dólares (valores triviais considerando que a demanda média de resgate em 2022 foi de US$4,74 milhões).

Os especialistas prevêem que os custos globais de ransomware ultrapassarão US$265 bilhões até 2031, e o RaaS desempenhará um papel fundamental para atingir esse marco assustador. Confira nosso artigo sobre estatísticas de ransomware para obter mais números importantes relacionados a essa ameaça cibernética.

Exemplos de ransomware como serviço

Embora a maioria dos programas RaaS sejam secretos por natureza, alguns ganharam notoriedade suficiente para se destacarem na multidão. Aqui estão os kits RaaS mais populares atualmente disponíveis para criminosos (embora sem dúvida o RaaS mais notório de todos, REvil não esteja na lista abaixo desde que o grupo parou de operar em janeiro de 2022):

  • Ryuk: Ryuk está disponível em RaaS desde 2019 e “ganhou” mais de US$150 milhões em resgates. Este grupo persegue alvos de alto valor (meios de comunicação, agências governamentais, unidades de saúde, etc.) capazes de pagar grandes somas de dinheiro. Os afiliados usam hacking manual para obter entrada não autorizada nos sistemas alvo, portanto, alguma habilidade é um pré-requisito para se tornar um afiliado.
  • RTM Locker: Leia o Manual (RTM) O Locker é baseado no código-fonte vazado do ransomware Babuk. A gangue por trás do RTM Locker executa campanhas RaaS em um estilo corporativo, nas quais os afiliados devem cumprir cotas de atividades e notificar os supervisores sobre suas licenças.
  • DarkSide: Este programa RaaS tem como alvo principal máquinas Windows, embora tenha havido relatos recentes desta cepa visando dispositivos Linux. DarkSide é a variante responsável pelo ataque ao Oleoduto Colonial em maio de 2021, que levou à escassez generalizada de combustível em toda a Costa Leste.
  • Dharma: O Dharma surgiu pela primeira vez em 2016, mas a variante tornou-se disponível como RaaS em 2020. Os especialistas em segurança atribuem esta tensão a um grupo de ameaça iraniano, embora o Dharma não tenha controlo centralizado. A Dharma e suas afiliadas dependem principalmente de explorações do Remote Desktop Protocol (RDP).
  • LockBit: LockBit é um kit RaaS disponível exclusivamente para afiliados que falam russo. Segundo o autor, o LockBit atingiu com sucesso mais de 12.125 organizações. O malware é famoso por sua capacidade de se autopropagar e exfiltrar arquivos rapidamente antes da criptografia (dessa forma, os criminosos pressionam ainda mais as vítimas com a ameaça de causar vazamento de dados).

Nosso artigo sobre exemplos de ransomware fornece uma visão abrangente das diferentes cepas, famílias e variantes de ransomware.

Como funciona o ransomware como serviço?

No topo da hierarquia do Ransomware as a Service estão os operadores responsáveis por:

  • Desenvolver a carga útil do ransomware (escrito do zero ou obtido de outros hackers).
  • Configurar e gerenciar toda a infraestrutura de back-end necessária para executar ataques (um servidor C&C, software de gerenciamento de chaves, canais de comunicação e um sistema de processamento de pagamentos).
  • Criação de um portal que permite aos afiliados se inscreverem e usarem o serviço RaaS.
  • Preparando guias detalhados sobre como lançar ataques com seu software.

Quando tudo estiver pronto, a operadora recruta afiliados que não possuem conhecimento técnico ou recursos para desenvolver ransomware por conta própria.

Os afiliados que conseguem o “emprego” passam por uma extensa integração, onde o operador explica a melhor forma de infectar os sistemas alvo. Em seguida, o afiliado recebe um código de exploração personalizado, bem como acesso a um portal para rastreamento:

  • Status de infecção.
  • Total de pagamentos efetuados.
  • O número de arquivos criptografados.
  • Informações gerais sobre seus alvos.

Os afiliados RaaS também obtêm acesso a várias comunidades e documentação que os ajudam a conduzir melhor os ataques. A afiliada distribui cargas às vítimas usando vários vetores de ataque, incluindo:

  • E-mails de phishing com URLs ou anexos maliciosos.
  • Kits de exploração prontos.
  • Downloads drive-by.
  • Arquivos com macros maliciosas da Microsoft.

A engenharia social é a estratégia ideal, já que a maioria dos afiliados RaaS não possui o conhecimento necessário para encontrar uma exploração de dia zero ou configurar um backdoor. Se um afiliado infectar um dispositivo com sucesso, as vítimas receberão instruções para pagar um resgate em troca de uma chave de descriptografia. Se a vítima concordar com as exigências, o afiliado utiliza o sistema de processamento de pagamentos configurado pela operadora para tratar da transação.

Finalmente, o operador RaaS e o afiliado compartilham o pagamento do resgate da vítima. Em média, a operadora recebe cerca de 20-30% de cada resgate enquanto o afiliado fica com o restante.

Se um programa de ransomware ultrapassar suas defesas (e é provável que isso aconteça mais cedo ou mais tarde), você deve estar pronto para responder ao incidente. Nosso artigo sobre recuperação de ransomware orienta você em todas as etapas para resolver o ataque sem ter que pagar o resgate.

Modelos de receita RaaS

Existem vários modelos de receita diferentes nos quais os operadores de RaaS confiam para gerar lucro. Aqui estão os mais comuns:

  • Assinaturas mensais: a operadora fornece acesso a um serviço RaaS por uma taxa de assinatura fixa. Os afiliados pagam uma taxa fixa mensal e podem usar o software o quanto quiserem por 30 dias.
  • Taxas de licença únicas: Neste modelo, o operador RaaS solicita uma taxa única em troca do código-fonte do seu software. Depois que um afiliado efetua o pagamento, ele obtém acesso indefinido ao serviço RaaS.
  • Programas de afiliados: A operadora RaaS não solicita pagamentos adiantados para usar seu software. Em vez disso, a operadora recebe uma porcentagem predeterminada (geralmente na faixa de 20% a 30%) de cada pagamento de resgate.
  • Sistemas escalonados: alguns operadores de RaaS usam um sistema escalonado de divisão de receitas com base no valor total do resgate ou no número de infecções bem-sucedidas. Quanto mais bem-sucedido for um afiliado, maior será a parcela dos lucros que ele receberá.

Tenha em mente que os acordos de partilha de receitas entre operadores RaaS e afiliados estão sujeitos a negociação. Afiliados maiores e mais experientes normalmente desfrutam de condições mais favoráveis, enquanto os recém-chegados ao RaaS estão frequentemente sujeitos a taxas abaixo do padrão.

Como prevenir ataques RaaS?

A prevenção de ataques RaaS requer uma estratégia proativa de segurança cibernética que aborde os vetores de ataque usuais. Aqui estão as precauções mais eficazes que reduzem o risco de ser vítima de um criminoso usando RaaS:

  • Organize treinamento de conscientização de segurança para educar os funcionários sobre os riscos do ransomware e garantir que todos saibam como reconhecer e-mails, links e anexos suspeitos.
  • Imponha o uso de senhas exclusivas e fortes para todas as contas, além de habilitar a autenticação multifator (MFA) sempre que possível para adicionar uma camada extra de segurança.
  • Garanta que todos mantenham seus sistemas operacionais, aplicativos e programas antimalware atualizados com os patches mais recentes.
  • Faça backups regulares de todos os arquivos críticos e use backups imutáveis para manter os dados de backup protegidos contra tentativas de criptografia.
  • Aumente a segurança dos endpoints para detectar comportamentos suspeitos de usuários e isolar ameaças antes que danifiquem a rede.
  • Use segurança de confiança zero para limitar os privilégios do usuário e conter o impacto de uma possível infecção.
  • Segmente sua rede para separar sistemas críticos dos menos sensíveis e impedir a propagação de infecções por ransomware.
  • Implante um sistema de detecção de intrusões (IDS) para monitorar o tráfego de rede em busca de possíveis sinais de atividade de ransomware.
  • Use a filtragem do Sistema de Nomes de Domínio (DNS) para bloquear comunicações entre um possível intruso e um servidor C&C.
  • Desative macros no Microsoft Office e outros aplicativos de produtividade.
  • Aumente a segurança do e-mail com filtragem de mensagens e soluções antiphishing.
  • Use a lista de permissões de aplicativos para reduzir o risco de alguém executar um programa não autorizado ou malicioso.
  • Execute avaliações regulares de vulnerabilidade para identificar e resolver possíveis pontos fracos.
  • Desenvolva um plano de recuperação de desastres que garanta que sua equipe de segurança esteja pronta para responder a uma infecção por ransomware.
  • Garanta que sua estratégia de segurança leve em consideração as últimas tendências, táticas e indicadores de comprometimento (IOCs) de ransomware.

Nossos artigos sobre prevenção e detecção de ransomware oferecem uma visão aprofundada das maneiras mais eficazes de impedir ameaças relacionadas a ransomware.

O ransomware como serviço veio para ficar

A baixa barreira técnica de entrada e a facilidade geral de uso necessária para realizar ataques apenas tornarão o Ransomware como serviço mais popular. Os ataques do tipo RaaS não são uma moda passageira que suas empresas podem esperar, portanto, adote uma abordagem proativa em relação à segurança e invista em uma estratégia anti-ransomware completa.

>

Artigos relacionados