O que é Ransomware-as-a-Service (RaaS)?

Sophos Phish Threat Relatório de Ransomware da Sophos

Sobre o Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-Service (RaaS) é um modelo de negócio no mundo do crime cibernético em que os agentes de ameaças fornecem ferramentas e infraestrutura de ransomware para outros indivíduos ou grupos, conhecidos como afiliados, que desejam realizar ataques de ransomware com fins lucrativos. Normalmente, o RaaS é entregue por meio de um serviço baseado em assinatura, similar a uma plataforma SaaS (Software-as-a-Service) legítima. O RaaS permite que os golpistas cibernéticos sem aptidões técnicas iniciem campanhas de ransomware com rapidez e facilidade para obter lucro.

Como o RaaS é diferente do ransomware tradicional?

Ao contrário do ransomware tradicional, o RaaS envolve a distribuição de pacotes de software prontos para lançar um ataque de ransomware. Esses pacotes estão disponíveis para assinantes que pagam para serem afiliados do programa e receberem versões atualizadas do ransomware. A transição para um modelo de serviço transformou o ransomware, dando a seus desenvolvedores a capacidade de se concentrar nos recursos e deixar a parte mais difícil, que é obter acesso e implantar o malware, para os seus clientes: os afiliados. Esses agentes de ameaças podem empregar uma ampla gama de estilos de ataque, softwares e experiência na tarefa.

Embora a realização de um ataque RaaS requeira apenas um pouco de habilidade técnica do afiliado, as ferramentas de ransomware disponíveis atualmente estão cada vez mais sofisticadas. Muitas delas são projetadas e usadas por intermediadores de acesso inicial, ou IABs, que passaram anos aprimorando suas técnicas de crime virtual. E agora, graças à dark web, qualquer pessoa com um cartão de crédito pode comprar.

Estas são algumas maneiras em que o RaaS é diferente do ransomware tradicional:

1. Modelo do golpe

Nos ataques tradicionais de ransomware, os próprios golpistas desenvolvem e distribuem o ransomware para infectar sistemas e exigir resgates. No modelo RaaS, por outro lado, criminosos cibernéticos altamente qualificados distribuem suas ferramentas para malfeitores menos qualificados, mas bem-equipados financeiramente, para que possam realizar ataques de ransomware sem precisar criar o malware propriamente dito. Hoje, ficou mais fácil e mais barato para os malfeitores obter pacotes de ransomware de provedores de RaaS e iniciar ataques. Para esses afiliados, é simplesmente o custo do negócio, a execução de um esquema de ransomware bem-sucedido.

2. Acessibilidade

Ransomware requer conhecimentos técnicos para desenvolver, manter e distribuir. O RaaS, no entanto, reduz a barreira dos criminosos cibernéticos com menos aptidões, pois oferece pacotes de ransomware pré-construídos e fáceis de usar. Alguns provedores chegam a oferecer suporte a seus afiliados, como o atendimento ao cliente de uma operação SaaS legítima.

3. Distribuição e alcance

Os autores de ransomware convencionais têm suas limitações quando se trata de infectar sistemas. Já os provedores de RaaS atraem vários afiliados para distribuir seus ransomwares mais amplamente. Esse modelo distribuído se traduz em campanhas de ataque em maior escala e mais difundidas.

4. Modelo de negócio de partilha de receita

Os provedores de RaaS geralmente oferecem um modelo de compartilhamento de receita com seus afiliados, captando para si uma porcentagem dos pagamentos de resgate obtidos pelos afiliados. Prometer uma parte dos lucros é um poderoso incentivo para os provedores de RaaS, cujo único trabalho é desenvolver um ransomware mais eficaz e evasivo para maximizar os lucros compartilhados. Afinal, eles têm afiliados para executar as campanhas.

5. Inovação e variantes

Com uma base mais ampla de golpistas usando seus ransomwares, os provedores de RaaS geralmente recebem feedback dos afiliados sobre a eficácia do malware e possíveis falhas ou problemas de detecção. Assim como uma empresa de software legítima, esse feedback leva a uma inovação mais rápida e ao desenvolvimento de novas variantes de ransomware que melhoram a cada nova versão.

6. Anonimato

O RaaS pode fornecer um nível de anonimato para os verdadeiros autores do ransomware. Os afiliados são responsáveis por distribuir o malware e interagir diretamente com as vítimas, colocando-os em maior risco de serem identificados.

É crucial manter-se informado sobre os últimos desenvolvimentos em variantes do RaaS e garantir que suas defesas de segurança cibernética sejam modernas o suficiente para proteger contra essas ameaças.

Como funciona o Ransomware-as-a-Service?

As operadoras de RaaS criam e mantêm o software de ransomware, gerenciando sua infraestrutura de implantação, mecanismos de criptografia e processamento de pagamento. Os afiliados se inscrevem para o serviço de software e, em troca de uma parte dos lucros, ganham acesso ao kit de ferramentas do ransomware e ao painel de controle. Esses afiliados passam a ser responsáveis por distribuir o ransomware através de vários vetores de ataque, como e-mails de phishing ou kits de exploit. Às vezes, os afiliados também trabalham através de um intermediador de acesso inicial (IAB) para obter acesso não autorizado a uma empresa ou indivíduo comprometido. Essencialmente, cada aspecto de um ataque de ransomware é terceirizado, portanto, o que o afiliado precisa fazer é simplesmente executar.

O que é um intermediador de acesso inicial (IAB)?

Os intermediadores de acesso inicial (IABs) são criminosos cibernéticos que comercializam o acesso a redes e dados corporativos comprometidos. Os IABs têm treinamento altamente técnico e trazem para a mesa um conjunto muito especializado de habilidades nefastas de segurança cibernética, geralmente desenvolvidas com base em anos servindo como hackers black hat. Essas habilidades ajudam os IABs a obter acesso não autorizado a redes seguras.

Os vetores de ataque comuns de um IAB incluem engenharia social, ataques de phishing, vulnerabilidades e exploits e controle de contas. Uma vez que os IABs ganham acesso, o próximo passo é vender esse acesso a outros criminosos em fóruns online no submundo da dark web. Seus compradores: grupos de ransomwares que buscam acesso a redes e sistemas violados para aplicar seus esquemas de ransomware.

Quem são os principais alvos dos ataques RaaS?

Os ataques RaaS normalmente visam uma ampla gama de vítimas, incluindo indivíduos, pequenas e grandes empresas, organizações governamentais e outras entidades com dados valiosos. Os criminosos cibernéticos visam maximizar os lucros infectando o maior número possível de sistemas vulneráveis.

Veja como esses criminosos costumam escolher suas vítimas:

  • Setores-alvo: os golpistas de RaaS geralmente se concentram em setores que são mais propensos a pagar resgate para recuperar o acesso a dados ou sistemas críticos. Setores como saúde, finanças, governo e as grandes corporações multinacionais são frequentemente visados devido ao potencial de pagamentos mais altos e à natureza sensível de seus dados. Os afiliados de RaaS também podem ter insights sobre setores específicos ou acesso a redes comprometidas, que usam para selecionar seus alvos.
  • Geografia: os golpistas podem preferir segmentar as vítimas por regiões geográficas específicas com base em fatores diversos. Algumas regiões podem ter uma maior concentração de sistemas vulneráveis ou dados valiosos, enquanto outras podem apresentar um nível mais baixo de conscientização e preparo em segurança cibernética.
  • Varredura de vulnerabilidade: os criminosos cibernéticos usam ferramentas automatizadas para varrer a Internet em busca de sistemas vulneráveis com deficiências em softwares, aplicativos sem patches ou configurações incorretas. Eles exploram essas vulnerabilidades para obter acesso não autorizado e implantar ransomwares.
  • Dados de IABs: os criminosos cibernéticos podem comprar dados no mercado paralelo, como de IABs, por exemplo, que contêm informações sobre vítimas potenciais. Esses dados incluem listas de e-mail, detalhes de funcionários ou informações sobre vulnerabilidades que as organizações-alvo enfrentam.
  • Potencial de lucro: os criminosos avaliam o potencial de sucesso do ataque e a probabilidade de a vítima pagar o resgate. Os alvos de alto valor, com maior capacidade de pagar são os mais atraentes para os operadores de RaaS.
  • Fatores socioeconômicos e políticos: em alguns casos, os golpistas podem ser motivados por razões econômicas ou políticas. Eles visam organizações ou instituições que possam causar transtornos significativos ou constrangimento para governos ou corporações. É importante lembrar que essas variantes do RaaS já foram empregadas nos crimes estados-nação para criar instabilidade e pânico. Por exemplo, a variante DarkSide RaaS foi vinculada a um ataque cibernético significativo contra a Colonial Pipeline, sediada na Geórgia. O ataque resultou na interrupção no fornecimento de combustível ao longo da Costa Leste dos EUA.
  • Antecedentes históricos: às vezes, os operadores de RaaS mantêm o registro das vítimas de sucesso, que pagaram o resgate no passado. Assim, eles podem tentar atacar essas organizações novamente, acreditando que estejam dispostas a pagar novamente para evitar a divulgação do ataque anterior.

Quais são as variantes de RaaS mais populares?

À medida que o cenário de ameaças evolui, as variantes de RaaS vêm e vão. Alguns exemplos bem conhecidos de RaaS incluem REvil (Sodinokibi), DarkSide, Ryuk e GandCrab, e novas variantes de RaaS tendem a surgir ao longo do tempo. Uma variante conhecida como Dharma ou CrySis tem muitas variantes devido à venda contínua e à modificação de seu código-fonte para vários desenvolvedores de malware. Em março de 2020, uma coleção de códigos-fonte para uma variante do Dharma foi oferecida para venda em fóruns criminosos em língua russa por US$ 2.000 através de um intermediário.

Como o Managed Detection and Response pode ajudar a proteger minha organização contra ataques RaaS?

É importante notar que as táticas e técnicas usadas pelos criminosos cibernéticos estão em constante evolução. Para garantir que sua organização esteja usando a mais recente tecnologia para se defender contra ataques de ransomware, o modelo Cybersecurity-as-a-Service é altamente recomendado. Afinal, os invasores estão aproveitando esse mesmo modelo de entrega de serviços para entregar malwares às suas vítimas. Sua organização não deveria então usar o mesmo método para se defender contra esses ataques?

O Managed Detection and Response (MDR) é a estratégia mais eficaz contra ataques de Ransomware-as-a-Service. Ele lhe dá acesso instantâneo a um centro de operações de segurança (SOC) de classe mundial comandado por analistas de segurança cibernética experientes, cientistas de dados e especialistas em inteligência de ameaça. O MDR é um serviço abrangente de segurança cibernética fornecido por um parceiro terceirizado para ajudar as organizações na mitigação de ransomwares.

Veja como o MDR pode protegê-lo contra ataques RaaS:

1. Monitoramento de ameaça em tempo real

O MDR monitora continuamente a sua rede e seus endpoints em tempo real em busca de atividades suspeitas e indicadores de possíveis ataques de ransomware. Ferramentas e técnicas avançadas de detecção de ameaças são empregadas dentro do SOC para identificar padrões ou comportamentos incomuns que possam ser indicativos da atividade de um ransomware.

2. Caça a ameaças conduzida por especialistas

As equipes MDR são habilidosas na caça proativa a ameaças. Eles procuram vestígios da atividade de ransomwares que possam ter burlado as medidas de segurança tradicionais. Isso envolve analisar logs, tráfego de rede e outros dados para descobrir ameaças ocultas antes que elas causem danos significativos.

3. Rapidez na resposta a incidentes

No caso de um ataque de ransomware, o tempo é crítico. Os provedores de MDR têm equipes experientes de resposta a incidentes que podem avaliar rapidamente a situação, conter a disseminação do ransomware e desenvolver uma estratégia para erradicar efetivamente a ameaça de seus sistemas.

4. Análise do comportamento do usuário

Os ataques de Ransomware-as-a-Service geralmente utilizam técnicas sofisticadas para escapar da detecção. O MDR emprega análise de comportamento e detecção de anomalias para identificar comportamentos maliciosos, mesmo que o ransomware seja novo ou desconhecido até então.

5. Endpoint Security

O MDR inclui proteção avançada de endpoint além do software antivírus tradicional. Ele utiliza ferramentas de segurança de endpoint de última geração para detectar e bloquear ransomwares antes que entrem em execução em seus endpoints.

6. Compartilhamento de inteligência de ameaça

Os provedores de MDR têm acesso a extensas fontes de inteligência de ameaça os mantêm atualizados sobre as últimas tendências e táticas de ransomware. Essas informações os ajuda na defesa proativa contra ameaças emergentes.

7. Gerenciamento de patches

O MDR ajuda a garantir que seus sistemas sejam atualizados com os patches e atualizações de segurança mais recentes. Softwares desatualizados podem ficar vulneráveis a ataques de ransomware, e o gerenciamento adequado de patches minimiza esses riscos.

8. Treinamento e conscientização do usuário

Os serviços MDR geralmente incluem o treinamento de funcionários sobre os riscos dos ransomwares e as melhores práticas para evitar ser vítima de phishing e outras técnicas de engenharia social comumente usadas em campanhas de ransomware. O treinamento com simulação de phishing é um exemplo do que um provedor de MDR pode oferecer para fortalecer seu ponto mais fraco quando se trata de ataques RaaS: seus usuários finais.

9. Backup e recuperação de dados

Os provedores de MDR enfatizam com frequência a importância de backups regulares de dados e ajudam a estabelecer processos robustos de backup e recuperação. Em caso de um ataque de ransomware bem-sucedido, ter backups confiáveis pode minimizar os impactos e eliminar a necessidade de pagar o resgate.

10. Análise pós-incidente

Os provedores de MDR realizam análises minuciosas após um ataque de ransomware para identificar vulnerabilidades e pontos fracos em sua infraestrutura de segurança. Isso ajuda a melhorar a resiliência futura contra ataques semelhantes.

Ao combinar esses elementos, o Managed Detection and Response pode melhorar significativamente a capacidade da sua organização de se defender contra ataques de Ransomware-as-a-Service e mitigar possíveis danos no caso de um incidente. Ele fornece uma abordagem proativa e abrangente da segurança cibernética que complementa as medidas de segurança tradicionais e capacita as organizações a permanecerem um passo à frente das ameaças cibernéticas.

A Sophos e o Ransomware-as-a-Service

Os ataques de Ransomware-as-a-Service de hoje combinam várias técnicas avançadas com a invasão em tempo real. Para minimizar o risco de ser vítima desses esquemas, você precisa de medidas avançadas de segurança cibernética com o poder de monitorar e proteger toda a sua superfície de ataque. Os especialistas do Sophos Managed Detection and Response (MDR) monitoram, detectam e neutralizam ameaças RaaS mais rapidamente do que qualquer outro sistema. Para saber mais sobre como nossa equipe detectou diferentes variantes de RaaS ao longo dos anos, visite nosso Centro de Inteligência de Ransomware. Ou fale diretamente com um especialista do Sophos MDR.

 

Relatório do Estado do Ransomware 2024 da Sophos

Qual a probabilidade de você ser atingido por ransomware? Quantos computadores seriam afetados? Encontre respostas para essas e muitas outras perguntas no Relatório Estado do Ransomware 2024 da Sophos.

Fazer o Download Agora

sophos-state-of-ransomware-2024-report-cover-card

 

Tópico de segurança relacionado: O que é o comprometimento de e-mail corporativo (BEC)?

Fique por dentro com mais notícias sobre segurança cibernética