Специфическая модель распространения определенного типа вредоносного ПО – программы-вымогателя в качестве услуги (Ransomware as a Service, RaaS) – представляет собой серьезную угрозу для кибербезопасности. Это партнерская схема, которая позволяет начинающим киберпреступникам осуществлять атаки даже без необходимых технических знаний и опыта программирования. Поэтому такие атаки становятся все более частыми.
Атаки программ-вымогателей бывают крайне разрушительны, поэтому предприятиям очень важно знать, какое влияние оказывает RaaS на кибербезопасность и почему необходимо защищать свои системы.
Как работает модель RaaS
RaaS – это бизнес-модель, которая специализируется на определенном типе вредоносного ПО (программы-вымогатели) и функционирует в даркнете. Проще говоря, это вредоносная разновидность более традиционной, легальной модели Software as a Service, SaaS (программное обеспечение как услуга), которую используют в своей работе многие корпорации, включая Microsoft, Adobe, Shopify, Zoom и Dropbox. Операторы бизнес-модели разрабатывают программу-вымогатель (а иногда и целую сопутствующую экосистему) и предлагают ее третьим лицам. Киберпреступники могут оформить бесплатную подписку на RaaS. Таким образом они становятся партнерами программы и оплачивают услугу уже после атаки, в виде процента от полученной прибыли.
Если киберпреступники планируют атаку с помощью программы-вымогателя, но не имеют времени и возможности разработать собственное вредоносное ПО, они могут просто выбрать RaaS-решение в даркнете. При этом они получают доступ и к самим программам, и ко всем необходимым компонентам: панелям управления, билдерам (программам для быстрого создания уникального вредоносного ПО), обновлениям ПО и интерфейса, инструкциям, службе поддержки и хостингу. В результате они могут сразу осуществить атаку, без необходимости предварительно ее готовить. Таким образом злоумышленники могут реализовать целую цепочку сложных атак, не имея никаких знаний или опыта в разработке программ-вымогателей.
Часто операторы RaaS-модели выстраивают вокруг своего вредоносного ПО целую систему сопутствующих услуг. Это могут быть форумы пользователей, сборники сценариев атак, клиентская поддержка и многое другое. Все это особенно полезно для начинающих вымогателей, у которых еще нет опыта в организации кибератак. Дополнительные услуги в рамках RaaS-модели могут включать:
- инструменты персонализации для организации узконаправленных целевых атак;
- дополнительные инструменты, например программы для извлечения данных из систем;
- форумы пользователей, где можно получить совет или обсудить проблему;
- сборники сценариев атак;
- инструкции по настройке панели управления и самой программы;
- руководства по планированию атак с описанием необходимых инструментов, тактик и технологий.
Какой бы тип RaaS-решения ни выбрал злоумышленник, его конечная цель всегда одна: проникнуть в частную или корпоративную сеть, похитить или зашифровать данные, а затем потребовать выкуп за их расшифровку.
Различия между вредоносным ПО, программами-вымогателями и RaaS
Вредоносное ПО – это собирательный термин для всех типов вредоносных программ, которые позволяют получить несанкционированный доступ к IT-системе или электронному устройству. Атаки с помощью вредоносного ПО могут преследовать самые разные цели: от похищения данных до нарушения работы системы. Программы-вымогатели – это разновидность вредоносного ПО, с помощью которого злоумышленники проникают в систему своей жертвы и шифруют или уничтожают данные. После этого у жертвы вымогают деньги (отсюда и название) за ключ для расшифровки данных или за то, чтобы информация не попала в открытый доступ.
Юридические аспекты модели RaaS
Поскольку RaaS используется для совершения преступлений и функционирует в даркнете, очевидно, что эта бизнес-модель полностью нелегальна. Любая форма участия в этой деятельности – неважно, являетесь ли вы ее организатором или партнером (клиентом) – противозаконна. Это касается как продажи RaaS-решений, так и их покупки с целью осуществления атак, взлома компьютерных сетей, шифрования данных или вымогания денег.
Как работает модель RaaS?
Модель RaaS организована по иерархическому принципу. Наверху пирамиды находятся операторы – группа лиц, которые разрабатывают программы-вымогатели и выставляют их на продажу. Операторы в основном действуют как администраторы RaaS и руководят всеми бизнес-процессами, включая управление инфраструктурой и пользовательским интерфейсом. Часто операторы также принимают платежи и выдают ключи для расшифровки данных тем, кто согласился заплатить выкуп. Внутри группы операторов существуют более мелкие роли, например администраторы, разработчики и тестировщики.
RaaS-партнеры, они же клиенты, покупают доступ к услуге RaaS и используют разработанные операторами программы-вымогатели для осуществления своих атак. Они сами находят возможности для атаки и разрабатывают ее. Задача партнеров – идентифицировать объект атаки, осуществить атаку, установить сумму выкупа, организовать общение с жертвой после атаки и передать ей ключи шифрования после получения денег.
В День шифровальщика 2023 эксперты «Лаборатории Касперского» назвали основные векторы атак программ-вымогателей в 2022 году. Согласно их отчету, более 40% компаний хотя бы раз за предыдущий год подверглись атаке вымогателей. При этом средняя сумма выкупа для предприятий малого и среднего бизнеса составила 6,5 тыс. долларов США, а крупному бизнесу пришлось раскошелиться на более существенную сумму – 98 тыс. долларов США. В исследовании были перечислены основные точки входа атак, в том числе: уязвимости онлайн-приложений (43%), взломанные аккаунты пользователей (24%), электронные письма с вредоносными вложениями (12%).
Как только программа-вымогатель проникает в систему, она пытается отключить защитное ПО конечных точек. После того как злоумышленники получают доступ к системе, они начинают устанавливать необходимые утилиты и вредоносные программы. Это позволяет им продвинуться по сети и начать шифрование данных. После того как данные зашифрованы, вымогатели отправляют письмо с требованием выкупа. Как правило, это текстовый файл, который появляется на экране компьютера. В нем сообщается, что система была взломана и чтобы получить ключ для расшифровки данных, нужно заплатить выкуп.
Как происходит оплата RaaS-услуг?
Киберпреступники могут оформить бесплатную подписку на RaaS. Таким образом они становятся партнерами программы и оплачивают услугу после успешного завершения атаки. Размер платежа зависит от суммы выкупа, который заплатила жертва атаки, и обычно составляет от 10% до 40% от каждой транзакции. Однако стать партнером программы непросто – к кандидатам предъявляются серьезные требования.
Примеры программ-вымогателей как услуги
Киберпреступники постоянно совершенствуют RaaS-услуги, чтобы соответствовать всем требованиям своих клиентов. В даркнете можно найти много разных RaaS-решений. Давайте рассмотрим, что они собой представляют и почему являются серьезной угрозой. Ниже приведены некоторые примеры RaaS-решений, которые получили широкое распространение в последние годы.
- LockBit. Этот шифровальщик проник в корпоративные сети многих организаций, используя сетевой протокол Server Message Blocks (SMB) и PowerShell от компании Microsoft – инструмент автоматизации задач и управления конфигурацией.
- BlackCat. Этот шифровальщик написан на языке Rust, что позволяет легко настраивать его и, как следствие, развертывать на различных системных платформах.
- Hive. Это особенно отвратительная программа-вымогатель среди тех, что распространяются по модели RaaS. Ее жертвы подвергаются особо сильному прессингу: злоумышленники вынуждают их заплатить выкуп, публикуя подробности взлома системы, и нередко даже включают счетчик обратного отсчета, указав дату, когда украденная информация будет раскрыта.
- Dharma. С помощью этой RaaS-программы были осуществлены сотни атак. Этот шифровальщик маскируется под самую популярную разновидность фишинга –почтовый фишинг – и атакует своих жертв через вложения в электронной почте.
- DarkSide. Хакерскую группу, которая разработала это вредоносное ПО, подозревают в осуществлении кибератаки на американский трубопровод Colonial Pipeline в 2021 году.
- REvil. Пожалуй, самая распространенная разновидность RaaS. С помощью этой программы в 2021 году вымогатели атаковали американскую IT-компанию Kaseya. Жертвами этих атак стали около 1,5 тыс. предприятий и финансовая группа CAN.
10 советов, как защитить свои устройства от программ-вымогателей
Атака программ-вымогателей – лишь одна из многочисленных онлайн-угроз, о которых нужно помнить, но восстановление после нее может оказаться сложным и дорогостоящим. Предотвратить эти угрозы полностью невозможно, однако есть немало способов усилить защиту против RaaS и смягчить последствия многих других кибератак. Вот 10 советов, как защитить ваши электронные устройства от программ-вымогателей.
- Регулярно создавайте резервные копии данных на отдельном устройстве. Если необходимо, создайте несколько резервных копий. Предприятиям необходимо иметь план восстановления данных на случай атаки.
- Установите надежное защитное ПО для конечных устройств, которое будет регулярно проводить их проверку и удалять потенциальные угрозы.
- Своевременно обновляйте все программное обеспечение и устанавливайте новейшие патчи безопасности.
- Установите многофакторную или биометрическую аутентификацию везде, где это возможно.
- Не забывайте о гигиене паролей. Пользуйтесь надежным менеджером паролей, чтобы создавать сильные пароли и хранить их. Не используйте одни и те же учетные данные для разных аккаунтов.
- Установите надежный фильтр электронной почты, чтобы отсеивать вредоносные письма и блокировать потенциальные фишинговые атаки.
- Разработайте и внедрите строгую политику кибербезопасности. Уделяйте внимание внешнему периметру. Убедитесь в том, что комплексная политика кибербезопасности охватывает всю организацию. В рамках этой политики необходимо разработать протоколы безопасности для удаленного доступа, сторонних поставщиков и сотрудников компании.
- Поскольку злоумышленники могут выставить украденные данные на продажу в даркнет, используйте сервис Kaspersky Digital Footprint Intelligence для мониторинга теневых ресурсов интернета и своевременного обнаружения таких угроз.
- Используйте принцип наименьших привилегий, чтобы права администратора и доступ к системе получали как можно меньше людей.
- Проводите тренинги по информационной безопасности, включая защиту от RaaS и других потенциальных угроз.
- Не переходите по ссылкам в электронных письмах, если отправитель вам незнаком или вы ему не доверяете. Если у вас возникли сомнения, перейдите на страницу напрямую, вручную набрав адрес веб-сайта в поисковой строке браузера.
Даже самые строгие меры защиты не всегда могут предотвратить атаку программ-вымогателей. Но если это случилось, всегда есть способы минимизировать последствия таких атак.
RaaS как постоянная угроза
Программы-вымогатели и сами по себе являются проблемой для кибербезопасности. Однако существование бизнес-модели RaaS сделало это вредоносное ПО еще более серьезной угрозой, поскольку начинающие киберпреступники получили возможность осуществлять атаки без каких-либо специальных знаний или опыта. Эти атаки могут иметь настолько серьезные финансовые последствия для предприятий и частных лиц, что необходимо быть в курсе всех имеющихся способов защиты систем от вымогателей. Основу большинства этих способов составляют базовые рекомендации по кибербезопасности, однако предприятия, вероятно, захотят приложить больше усилий: например, организовать тренинги по безопасности и регулярное резервное копирование особо ценных данных.
Оформите подписку Kaspersky Premium + 1 год бесплатного доступа к Kaspersky Safe Kids. Kaspersky Premium имеет пять наград AV-TEST в категориях «Лучшая защита», «Лучшая производительность», «Самый быстрый VPN», «Родительский контроль на устройствах Windows» и «Родительский контроль на устройствах Android».
Статьи и ссылки по теме:
Самые известные атаки программ-вымогателей
Продукты и решения:
