Программы-вымогатели как услуга (RaaS) — это бизнес-модель между операторами программ-вымогателей и аффилированными лицами, в которой аффилированные лица платят за запуск атак программ-вымогателей, разработанных операторами. Программы-вымогатели как услуга являются разновидностью бизнес-модели «программное обеспечение как услуга» (SaaS).

Комплекты RaaS позволяют аффилированным лицам, которым не хватает навыков или времени для разработки собственного варианта программы-вымогателя, быстро и по доступной цене начать работу. Их легко найти в темной сети, где они рекламируются так же, как товары рекламируются в легитимной сети.

Комплект RaaS может включать круглосуточную поддержку, пакетные предложения, обзоры пользователей, форумы и другие функции, идентичные тем, которые предлагаются законными поставщиками SaaS. Цена комплектов RaaS колеблется от 40 долларов в месяц до нескольких тысяч долларов — ничтожные суммы, если учесть, что средний доход от выкупа в 2021 году составлял 6 миллионов долларов. Злоумышленнику не обязательно, чтобы каждая атака была успешной, чтобы разбогатеть.

Как работает модель RaaS

Существует 4 распространенные модели доходов RaaS:

1. Ежемесячная подписка за фиксированную плату.

2. Партнерские программы, которые аналогичны модели с ежемесячной оплатой, но с процентом от прибыли (обычно 20-30%), который идет разработчику программы-вымогателя.

3. Единовременная плата за лицензию без участия в прибыли.

4. Чистое участие в прибылях.

Самые передовые операторы RaaS предлагают порталы, которые позволяют их подписчикам видеть статус заражения, общую сумму платежей, общее количество зашифрованных файлов и другую информацию о своих целях.

Партнер может просто войти на портал RaaS, создать учетную запись, заплатить биткойнами, ввести данные о типе вредоносного ПО, которое он хочет создать, и нажать кнопку «Отправить». Подписчики могут иметь доступ к поддержке, сообществам, документации, обновлениям функций и другим преимуществам, идентичным тем, которые получают подписчики законных продуктов SaaS.

Рынок RaaS является конкурентным. Помимо порталов RaaS, операторы RaaS проводят маркетинговые кампании и имеют веб-сайты, которые выглядят точно так же, как кампании и веб-сайты вашей компании. У них есть видео, официальные документы и они активны в социальных сетях. RaaS — это бизнес, и это большой бизнес: общий доход от программ-вымогателей в 2020 году составил около 20 миллиардов долларов по сравнению с 11,5 миллиардами долларов в предыдущем году.

Некоторые известные примеры наборов RaaS включают Locky, Goliath, Shark, Stampado, Encryptor и Jokeroo, но есть и много других, и операторы RaaS регулярно исчезают, реорганизуются и вновь появляются с новыми и лучшими вариантами программ-вымогателей.

Примеры RaaS

Hive

Hive — это группа RaaS, которая стала популярной в апреле 2022 года, когда они нацелились на большое количество клиентов Microsoft Exchange Server. Организации включали финансовые фирмы, некоммерческие организации, организации здравоохранения и многие другие.

26 января 2023 года Министерство юстиции США объявило, что нарушило работу Hive, захватив два внутренних сервера, принадлежащих группе, в Лос-Анджелесе, Калифорния. По оценкам, Hive оставил после себя более 1500 жертв по всему миру и вымогал миллионы долларов в качестве выкупа.

DarkSide

DarkSide — это платформа RaaS, связанная с группой eCrime, которая известна также как CARBON SPIDER. Операторы DarkSide традиционно фокусировались на компьютерах с Windows и недавно расширились до Linux, нацеливаясь на корпоративные среды с неисправленными гипервизорами VMware ESXi или похищая учетные данные vCenter.

10 мая ФБР публично заявило, что инцидент с Colonial Pipeline был связан с программой-вымогателем DarkSide. Позже сообщалось, что у Colonial Pipeline было украдено около 100 ГБ данных из их сети, и организация якобы заплатила почти 5 миллионов долларов США филиалу DarkSide.

REvil

REvil, также известная как Sodinokibi, была идентифицирована как программа-вымогатель, стоящая за одним из крупнейших требований выкупа за всю историю: 10 миллионов долларов. Программу продает криминальная группировка Pinchy SPIDER, которая продает RaaS по партнерской модели и обычно забирает 40% прибыли.

Подобно первоначальным утечкам TWISTED SPIDER, Pinchy SPIDER предупреждает жертв о запланированной утечке данных, обычно через сообщение в блоге на их DLS, содержащее образцы данных в качестве доказательства, прежде чем опубликовать большую часть данных через заданный промежуток времени.

REvil также предоставляет ссылку на сообщение в блоге в примечании о выкупе. Ссылка отображает утечку пострадавшей жертве до того, как она станет достоянием общественности. При переходе по ссылке запустится таймер обратного отсчета, в результате чего утечка будет опубликована по истечении заданного времени.

Dharma

Атаки программы-вымогателя Dharma были приписаны иранской группе киберпреступников, мотивированной финансовыми мотивами. Этот RaaS доступен в даркнете с 2016 года и в основном связан с атаками на протокол удаленного рабочего стола (RDP). Злоумышленники обычно требуют 1-5 биткойнов от жертв в самых разных отраслях. Dharma не контролируется централизованно, в отличие от REvil и других комплектов RaaS.

Варианты Dharma поступают из многих источников, и большинство инцидентов, в которых эксперты идентифицировали Dharma, показали почти 100% совпадение между образцами файлов. Единственными отличиями были ключи шифрования, контактный адрес электронной почты и несколько других вещей, которые можно настроить через портал RaaS. Поскольку атаки Dharma почти идентичны, охотники за угрозами не могут использовать инцидент, чтобы узнать больше о том, кто стоит за атакой Dharma и как они действуют.

LockBit

LockBit находится в разработке как минимум с сентября 2019 года и доступен как RaaS, рекламируемый для русскоязычных или англоговорящих пользователей. В мае 2020 года аффилированная компания, управляющая LockBit, разместила на популярном русскоязычном криминальном форуме угрозу утечки данных.

В дополнение к угрозе партнер предоставляет доказательства, такие как скриншот примера документа, содержащегося в данных жертвы. Известно, что по истечении крайнего срока партнер публикует ссылку для загрузки украденных данных жертвы. Эта группа пригрозила опубликовать данные как минимум девяти жертв.

Предотвращение RaaS-атак

Восстановление после атаки программ-вымогателей является сложным и дорогостоящим, поэтому лучше полностью их предотвратить. Шаги для предотвращения атаки RaaS такие же, как и для предотвращения любой атаки программ-вымогателей, потому что RaaS — это просто программа-вымогатель, упакованная для простоты использования кем-либо со злыми намерениями:

- Внедрите надежную и современную защиту конечных точек, которая может работать на передовых алгоритмах и работает автоматически в фоновом режиме круглосуточно.

- Выполняйте регулярное и частое резервное копирование. Если резервное копирование выполняется только каждые выходные, атака программ-вымогателей может стоить всей недели рабочего продукта.

- Сделайте несколько резервных копий и храните их на разных устройствах в разных местах.

- Регулярно проверяйте резервные копии, чтобы убедиться, что их можно восстановить.

- Поддерживайте строгую программу обновлений для защиты от известных и неизвестных уязвимостей.

- Сегментируйте сеть, чтобы предотвратить распространение в среде.

- Внедрите расширенную защиту от фишинга.

- Инвестируйте в обучение пользователей и создавайте культуру безопасности.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.