Главная страница » Термины

Ransomware-as-a-Service (RaaS)

Ransomware-as-a-Service (RaaS) - это бизнес-модель, в которой операторы Ransomware и третьи лица, известные как «филиалы», работают вместе, чтобы осуществлять атаки ransomware. Впервые RaaS была выявлена в 2012 году с помощью варианта Reveton ransomware и за последующее десятилетие превратилась в сложную и постоянно развивающуюся тактику киберпреступности.

В рамках модели ransomware-as-a-service разработчики ransomware (как отдельные лица, так и организации, известные как группы или банды ransomware) пишут собственное программное обеспечение и предоставляют его другим лицам и группам за определенную плату. Те, в свою очередь, используют это программное обеспечение для проведения различных атак с использованием выкупа. Эта модель также может включать брокеров первоначального доступа (IAB), которые специализируются на получении доступа к организациям по всему миру. Филиалы часто платят за то, чтобы получить более легкий доступ к ИТ-средам своих жертв или сотрудничают с IAB.

Хотя описанная выше модель является наиболее распространенной, ее можно еще больше специализировать: различные киберпреступники будут играть определенные роли до, во время и после атаки. Например, некоторые операторы могут сосредоточиться на написании специфических, высокоэффективных вариантов вредоносного ПО, в то время как другие филиалы могут быть экспертами в области первоначального доступа, поиска и использования специфических уязвимостей или других тактик. Кроме того, многие операторы предлагают готовые наборы выкупного ПО, включающие инструкции по доступу, необходимые вредоносные программы и многое другое, что упрощает процесс атаки для менее технически подкованных аффилированных лиц. Такая бизнес-модель напрямую способствовала росту числа атак на ransomware в последние годы.

Как работает модель RaaS

Операторы создают вредоносное ПО, известное также как вариант ransomware, а филиалы покупают этот вариант у операторов и часто возглавляют атаку. Ценовая составляющая модели может варьироваться в зависимости от оператора, о чем мы расскажем ниже. Кроме того, в модель могут быть вовлечены брокеры первоначального доступа, которые помогают филиалам осуществлять атаки, продавая доступ к организациям-жертвам.

Как операторы, филиалы и другие лица объединяются, чтобы уничтожать организации по всему миру и уходить с миллионами?
Этот способ действий мало чем отличается от легальных организаций, предоставляющих услуги по принципу «как есть», что, несомненно, способствовало буму RaaS и, как следствие, прибыльности всех участников.

Модель ransomware-as-a-service включает в себя следующие компоненты:

  1. Операторы ransomware следят за разработкой вариантов ransomware и их распространением среди филиалов
  2. Филиалы ransomware покупают вариант ransomware и другие инструменты, разработанные операторами, и запускают ransomware-атаку на одну или несколько организаций
  3. Обе группы делят прибыль в соответствии с условиями соглашения

Такое разделение труда оказалось успешным, поскольку позволяет обеим группам запускать больше атак для максимизации прибыли соответственно. Это также дает возможность киберпреступникам-любителям, у которых может не хватать технического опыта, войти в экосистему.

Обычные цены на RaaS:

  • Партнеры платят операторам фиксированную ежемесячную плату
  • Партнеры платят операторам процент от их прибыли
  • Партнеры платят единовременную лицензионную плату за использование варианта ransomware
  • Партнеры и операторы делят всю прибыль и работают вместе до, во время и после атаки.

Эти ценовые модели тщательно контролируются, в них учитывается каждый цент. Многие операторы ransomware используют сложные порталы, на которых подписчики и партнеры могут отслеживать платежи за выкуп, статус атак и многое другое.

Еще один популярный компонент не только модели RaaS, но и вымогательства в целом - двойное и тройное вымогательство. Двойное вымогательство, когда филиалы ransomware одновременно шифруют и удаляют файлы, чтобы получить оплату, стало нормой для киберпреступников с момента его появления в 2019 году. В последние годы также участились случаи тройного вымогательства, когда киберпреступники используют эксфильтрованные данные для дополнительного стимулирования выплаты выкупа во время атаки или пытаются вымогать деньги непосредственно у отдельных жертв кражи данных. Дополнительные тактики тройного вымогательства могут включать шифрование других частей корпоративной среды или угрозу повторной атаки.

Известные группы по распространению Ransomware

Поскольку Ransomware становится все более популярным и прибыльным, многие операторы объединились в группы или банды для проведения более крупных и частых атак с высоким потенциалом выплат. Эти группировки разрабатывают вредоносное ПО своими силами и, как известно, проводят полноценные атаки своими силами. Однако в большинстве случаев они используют модель RaaS, продавая свой вариант партнерам, что увеличивает количество возможных атак за определенный промежуток времени.

Давайте посмотрим на Akira, которая восстала из пепла RaaS-группы Conti и, по данным Агентства информационной безопасности США, добилась успеха. Всего за один день осенью 2024 года RaaS-группа опубликовала в даркнете данные более 35 организаций, ставших жертвами вымогательского ПО. Их постоянные атаки, проводимые совместно с филиалами и использующие фишинг и spear phishing для получения первоначального доступа, а также средний размер первоначального требования выкупа, превышающий 300 000 долларов, показывают, насколько эффективной и прибыльной может быть модель RaaS.

Согласно исследованию Arctic Wolf, проведенному на основе сотен глобальных исследований в области цифровой криминалистики и реагирования на инциденты (DFIR), группы вымогательского ПО, выглядят следующим образом:

  1. Akira (15 % атак)
  2. LockBit (9 % атак)
  3. BlackSuit (6 % атак)
  4. Fog (5 % атак)
  5.  Play (4 % атак)

Неудивительно, что в этом году Akira возглавила список, а LockBit, которая с пугающей частотой атакует организации критической инфраструктуры, завоевала серебро. Обе группы очень плодовиты. На сайте Akira перечислены 215 жертв, а группа LockBit, несмотря на то, что в начале 2024 года ее обвинение было направлено на ликвидацию, все еще активна и даже анонсировала новый вариант вымогательского ПО на 2025 год.

Приведенные выше цифры учитывают все атаки, в которых варианты ransomware могут быть приписаны конкретной группе угроз, включая атаки, совершенные самими киберпреступными группировками, а также атаки, совершенные филиалами, использующими варианты ransomware, созданные группировкой.

Несмотря на то что RaaS действуют аналогично легальным организациям, они по-прежнему существуют в мире киберпреступности, а значит, группы, занимающиеся распространением ransomware, то появляются, то исчезают и постоянно меняют свою тактику, чтобы избежать преследования или обнаружения. Кроме того, операторы работают с несколькими филиалами, а филиалы могут использовать несколько вариантов ransomware операторов, что еще больше размывает границы. Фактически, в 2024 году команда Arctic Wolf Incident Response наблюдала более 50 различных групп угроз, действующих в среде жертв, иллюстрируя, насколько масштабной и часто неуловимой стала эта модель.

Почему RaaS так популярен

Ransomware-as-a-Service стал важной частью ландшафта угроз.

Хотя не все атаки на выкупное ПО можно отследить по модели RaaS, продолжающийся рост числа атак на выкупное ПО - на него приходится 20 % всех киберпреступлений, согласно индексу IBM® X-Force® Threat Intelligence Index за 2024 год - отражается в росте групп выкупного ПО, сайтов утечки и взломов, привлекающих внимание. Исследование Arctic Wolf подтверждает это: 45 % организаций, опрошенных Arctic Wolf в 2024 году, признались, что за последние 12 месяцев стали жертвами атаки ransomware.

Если взглянуть на финансовую сторону, то легко понять, почему RaaS становится нормой. Средний размер выкупа в 2024 году составлял 600 000 долларов США. Упомянутые выше группы вымогателей начинали свои требования с 300 000 - 5,5 млн долларов США. Если оператор RaaS продает свой вариант снова и снова, получая хотя бы часть первоначально запрошенного выкупа, человек или банда могут быстро расстаться с миллионами.

Самый высокий выкуп в истории был зафиксирован в 2024 году. Одна из зарегистрированных на бирже компаний заплатила группе разработчиков вымогательского ПО Dark Angels внушительную сумму в 75 миллионов долларов США. Хотя полная информация еще не подтверждена, похоже, что это была скидка на первоначальное требование выкупа, причем группа даже не устанавливала выкупное ПО в организации жертвы, а просто удалила данные и потребовала заплатить, чтобы предотвратить их публикацию.

Существует несколько причин, по которым киберпреступники используют эту модель для проведения атак и получения прибыли:

  1. Разделение труда увеличивает количество атак, которые могут проводить группы
  2. Возможность приобрести сложное вредоносное ПО или готовые наборы ransomware снижает барьер входа для неопытных участников угроз
  3. Организации, особенно те, которые не терпят простоя, продолжают платить выкуп (83 % жертв заплатили)
  4. Большинство инцидентов с выкупом связано с утечкой данных, которые эти группы могут затем продать в даркнете, если организация не заплатит
  5. Модель организованной преступности позволяет адаптироваться и использовать оппортунизм даже перед лицом рейдов правоохранительных органов.

Как защититься от RaaS-атак

Ransomware особенно коварны, поскольку не существует единой первопричины атаки. Под Ransomware понимается вредоносное ПО, используемое для шифрования и потенциальной утечки данных, а не метод, с помощью которого это делается. Несмотря на то что существуют общие тактики, техники и процедуры, используемые в ransomware, о которых должна знать и отслеживать каждая организация, важным способом предотвращения атак ransomware является выявление их предвестников.

Общие признаки, предшествующие появлению программ-вымогателей:

  • Необычный доступ к среде или подозрительная активность пользователей, связанная с боковым перемещением или повышением привилегий
  • Перемещение данных, включая изменение разрешений на файлы или выход данных из сети
  • Обнаружение вредоносного ПО, особенно infostealer или другого вредоносного ПО для эксфильтрации данных

Однако лучший способ защиты от атаки ransomware - это подготовиться и предпринять шаги по предотвращению атаки или смягчению ее потенциальных последствий. Проактивные шаги, которые может предпринять организация:

  1. Выполняйте базовое резервное копирование файлов. Эта небольшая мера может иметь большое значение в случае атаки ransomware, поскольку она защищает от дублирующего вымогательства. По данным Arctic Wolf, надежное резервное копирование помогло восстановлению в 68 % случаев атак вымогателей. Во многих случаях это избавляло от необходимости выплачивать деньги, так как обеспечивало альтернативу для достаточного восстановления.
  2. Защита «облака». Облако не только может стать первоначальной точкой входа для субъектов угроз, но и с распространением хранения данных и операционных приложений в облаке субъекты угроз, скорее всего, найдут туда дорогу. Зная о своих обязанностях по обеспечению безопасности «облака» и следя за неправильной конфигурацией, вы можете значительно усилить эту часть поверхности атаки.
  3. Обеспечьте контроль идентификации и доступа. Идентификация становится все более спорной областью. Для первоначального доступа все чаще используются не только учетные данные. Arctic Wolf также обнаружила, что незащищенные протоколы удаленных рабочих столов (RDP) и скомпрометированные учетные данные VPN являются основными причинами появления программ-вымогателей и вторжений. Внедряя мониторинг идентификационных данных, многофакторную аутентификацию (MFA) и проводя комплексное обучение по вопросам безопасности, организации могут еще больше усилить эту поверхность атаки.
  4. Внедрите управление уязвимостями на основе рисков. Зачастую именно известные, непропатченные уязвимости позволяют субъектам угроз получить доступ к сети или системе. Поскольку количество критических уязвимостей продолжает расти из года в год, постоянное управление уязвимостями больше не является необязательным для организаций.
  5. Инвестируйте в решения для круглосуточного мониторинга, обнаружения и реагирования, такие как Managed Detection and Response (MDR). Предотвратить и остановить атаку ransomware можно с помощью двух ключевых компонентов: Видимость среды и возможность быстрого обнаружения аномалий. В отчете Arctic Wolf 2024 Security Operations Report подчеркивается, насколько ценными могут быть эти решения, и отмечается, что «несмотря на постоянную угрозу, менее 2 % наших клиентов, использующих MDR, обнаружили признаки активности ransomware».

Однако в современных условиях постоянно меняющегося ландшафта угроз недостаточно сосредоточиться только на одном методе защиты. Оперативный подход к кибербезопасности, направленный на одновременное и постоянное устранение нескольких точек риска, - единственный способ снизить киберриски и повысить уровень безопасности. Безопасность - это процесс. Поэтому организации должны постоянно работать над совершенствованием мер безопасности, уменьшением поверхности атаки и усилением проактивных мер.