Программы-вымогатели как услуга
Программа-вымогатель как услуга ( RaaS ) — это бизнес-модель киберпреступности , в которой операторы программ-вымогателей пишут программное обеспечение, а аффилированные лица платят за запуск атак с использованием этого программного обеспечения. [1] Аффилированным лицам не нужно иметь собственные технические навыки, они полагаются на технические навыки операторов. [2]
Модель «программа-вымогатель как услуга» представляет собой киберпреступную вариацию бизнес-модели « программное обеспечение как услуга ». [3]
Модели доходов
Партнеры могут выбирать из различных моделей доходов, включая ежемесячные подписки, партнерские программы, единовременные лицензионные сборы и чистое распределение прибыли. Самые продвинутые операторы RaaS предоставляют порталы, которые позволяют их подписчикам отслеживать статус заражений, платежей и зашифрованных файлов. Этот уровень поддержки и функциональности аналогичен легитимным продуктам SaaS. [4]
Рынок RaaS является высококонкурентным, операторы проводят маркетинговые кампании и разрабатывают веб-сайты, которые имитируют законные компании. Глобальный доход от атак с использованием программ-вымогателей составил около 20 миллиардов долларов в 2020 году, что подчеркивает значительный финансовый успех RaaS. [3]
Центр анализа угроз Microsoft (MSTIC) считает, что RaaS отличается от предыдущих форм программ-вымогателей, поскольку у него больше нет тесной связи между инструментами, первоначальным вектором входа и выбором полезной нагрузки. [5] Они считают, что они представляют двойную угрозу — шифрование данных, их извлечение и угроза их публикации. [5]
Методы вымогательства
Злоумышленники, занимающиеся вредоносным ПО, используют различные методы для вымогательства денег у жертв. Некоторые из основных методов включают:
Двойное вымогательство
При атаке с двойным вымогательством злоумышленники сначала шифруют данные жертвы. Затем они угрожают публично опубликовать извлеченные данные, если выкуп не будет выплачен. Это оказывает дополнительное давление на жертву, заставляя ее заплатить выкуп, чтобы избежать утечки конфиденциальных данных. [6]
Согласно анализу компании по кибербезопасности Zscaler , в 2021 году 19 семейств программ-вымогателей использовали подходы двойного или множественного вымогательства. К 2022 году это число выросло до 44 семейств, использующих эту технику. Такие группы, как Babuk и SnapMC, были пионерами в использовании программ-вымогателей с двойным вымогательством. Позже ее также использовали другие участники, такие как RansomHouse, BianLian и Karakurt. [6]
Многократное вымогательство
Множественное вымогательство — это разновидность двойного вымогательства. Помимо шифрования данных и угроз их утечки, злоумышленники также запускают DDoS-атаки против веб-сайта или инфраструктуры жертвы. Это добавляет еще один элемент давления на жертву, чтобы она заплатила. [6]
Чистое вымогательство
В атаке «чистого вымогательства» или «бескриптовой вымогательской программы» злоумышленники извлекают конфиденциальные данные, но не шифруют файлы. Они угрожают опубликовать украденные данные в сети, если выкуп не будет выплачен. Такой подход позволяет злоумышленникам избежать сложной технической работы по разработке шифровальщиков. [6]
Группы вроде LAPSUS$ и Clop использовали методы чистого вымогательства в громких атаках. Поскольку системы жертв не заблокированы, этот метод, как правило, вызывает меньше сбоев и привлекает меньше внимания со стороны властей. Однако финансовые последствия для целевых организаций все еще могут быть серьезными. [6]
Главные действующие лица
Несколько известных примеров наборов RaaS включают Hive, DarkSide, REvil (также известный как Sodinokibi), Dharma и LockBit . Эти операторы постоянно развиваются и создают новые версии программ-вымогателей, чтобы максимизировать свое влияние. [7]
Примерами комплектов RaaS являются Locky , Goliath, Shark, Stampado, Jokeroo и Encryptor. [1]
Hive привлекли внимание в апреле 2022 года, когда они атаковали клиентов Microsoft Exchange Server. Министерство юстиции США изъяло два сервера, принадлежащих Hive, нарушив их работу. [3]
DarkSide в первую очередь нацелился на машины Windows , но распространился и на системы Linux . Они получили известность в инциденте Colonial Pipeline, где организация заплатила около 5 миллионов долларов аффилированному лицу DarkSide. [3]
REvil связан с PINCHY SPIDER и стал известен тем, что потребовал один из самых крупных выкупов в истории: 10 миллионов долларов. [3]
Смотрите также
Ссылки
- ^ ab Baker, Kurt (2023-01-30). "Программы-вымогатели как услуга (RaaS) — объяснение, как это работает, и примеры". Crowdstrike . Получено 2023-02-11 .
- ^ Палмер, Дэнни (2021-03-04). «Программы-вымогатели как услуга — новая большая проблема для бизнеса». ZDnet . Получено 2023-02-11 .
- ^ abcde "Что такое Ransomware as a Service (RaaS)? - CrowdStrike". crowdstrike.com . Получено 2023-07-10 .
- ^ "Что такое Ransomware as a Service (RaaS)? - CrowdStrike". crowdstrike.com . Получено 2023-07-10 .
- ^ ab «Программы-вымогатели как услуга: понимание киберпреступной экономики и как защитить себя». Центр разведки угроз Microsoft. 2022-05-09 . Получено 2023-02-11 .
- ^ abcde Росс Келли (29.06.2023). "Программы-вымогатели без шифрования: предупреждение о новом методе атаки для злоумышленников". ITPro . Получено 31.07.2023 .
- ^ Бейкер, Курт (2023-01-30). «Программы-вымогатели как услуга (RaaS) — объяснение, как это работает, и примеры». Crowdstrike . Получено 2023-02-11 .
