20.11.2021

Что такое RaaS и почему он опасен?

Bitdefender > Новости > Что такое RaaS и почему он опасен?

Число атак программ-вымогателей резко возросло, в основном из-за пандемии. В первой половине 2021 года количество атак программ-вымогателей увеличилось на 151% по сравнению с тем же периодом прошлого года.

Одна из причин, по которой атаки программ-вымогателей стали настолько распространенными, была связана с распространением RaaS, или программ-вымогателей как услуги. Мы разберем эту разработку и дадим вам советы, как лучше защитить себя.

Как работали программы-вымогатели?

Программы-вымогатели стали возможны благодаря комплектам эксплойтов – программному обеспечению, которое можно было купить на форумах хакеров и в темной сети. Наборы эксплойтов содержат вредоносные программы, обычно упакованные в виде уязвимости эксплойта, которая позволяет вредоносному ПО заразить сеть. Это позволяет покупателю заражать организации, если те не устранили соответствующую уязвимость.

В зависимости от набора эксплойтов хакер может купить «фишинговую атаку», содержащую вымогательское ПО, скрытое во вредоносном файле, и получить вознаграждение за каждого, кто скачал этот файл. Однако такая модель работает нечасто. Антифишинг, антивирус, обнаружение вредоносных программ, спам-фильтры могут остановить подобные атаки вымогателей на различных этапах цепочки атаки.

Даже против таких массовых программ-вымогателей, как Hermes, наличия файлов резервных копий было достаточно, чтобы справиться с атакой программ-вымогателей. А поскольку программа-вымогатель была доступна практически любому покупателю, исследователи безопасности могли разработать ключи дешифрования, которые могли бы освободить жертв от программы-вымогателя без необходимости платить злоумышленникам, вынуждая разработчиков программ-вымогателей постоянно обновлять их.

Это означало, что хакерам нужно было найти другой способ.

Программа-вымогатель как услуга

Наиболее опасные группы вымогателей решили приватизировать самые эффективные программы-вымогатели и пошли еще дальше. Вместо того чтобы продавать его и позволять злоумышленникам свободно использовать их, они решили лицензировать программу-вымогатель, разделить стоимость и использовать свой собственный опыт в качестве услуги. То есть злоумышленник мог полностью передать услуги хакерских групп-вымогателей на аутсорсинг.

Вместо того чтобы использовать их в фишинговых и спам-атаках, которые гораздо менее эффективны, хакерские группы вымогателей либо проникнут в целевые организации, либо развернут программы-вымогатели для целей, в которые злоумышленники уже проникли.

Это дает злоумышленникам следующие преимущества:

  1. Организация уже скомпрометирована: это не ваш традиционный стиль атак методом спрея и молитвы. Вместо этого это гораздо более целенаправленные атаки, которые заражают уже взломанную организацию, значительно увеличивая шансы на успех. А поскольку злоумышленники уже находятся в среде компании, шифровальщик с большей вероятностью затронет большую часть сети организации.
  2. Легко доступного ключа дешифрования нет: кибербезопасность зависит от информации. Тот факт, что программы-вымогатели использовались в таком широком масштабе, позволил исследователям в области безопасности разрабатывать ключи дешифрования. Однако программа-вымогатель недоступна и редко используется против организаций, что затрудняет создание ключей дешифрования.

Программа-вымогатель Ryuk – хороший тому пример. Лицензированный только хакерской группой WIZARD SPIDER, код вымогателя имеет много общего с Hermes, но нацелен только на крупные предприятия. Поскольку он не делает его широкодоступным для покупки, он генерирует специфичные для жертвы атрибуты для каждой атаки, что значительно затрудняет разработку ключа дешифрования для него.

RaaS станет новой нормой

К сожалению, эта разработка останется. Новый метод очень прибылен для злоумышленников. Злонамеренный хакер, стремящийся заразить организацию, имеет гораздо больше шансов на успех, а банда вымогателей может получить сокращение, не выполняя особой работы.

В результате банды вымогателей применяют модель картеля и работают с небольшими группами вымогателей, создавая организованную сеть преступников-вымогателей. Наблюдаемый успех этой модели также является причиной того, что в ближайшем будущем она, вероятно, сохранится и будет расти.

Отчасти поэтому количество атак программ-вымогателей так сильно возросло, и мы видим все большие и большие выплаты. Средняя выплата программ-вымогателей резко выросла до более чем 300 тысяч долларов в 2020 году, что на 171% больше.

Организации по-прежнему могут защитить себя от RaaS

Несмотря на эти новаторские разработки, это не означает, что организации беспомощны против такого типа атак. К счастью, организации могут использовать существующие инструменты, процессы и решения для защиты от программ-вымогателей. Далее представлены областей, которые вам следует сделать в первую очередь.

  • Не прекращайте традиционную защиту от программ-вымогателей:

Спам-фильтры, антивирусные программы и средства обнаружения и удаления вредоносных программ оказались достаточно эффективными, чтобы заставить преступников использовать другие методы и даже предотвратить запуск программ-вымогателей в вашей среде. Эти инструменты, а также обучающие программы по вопросам безопасности должны по-прежнему использоваться и расставляться по приоритетам.

  • Всегда есть резервные копии:

Если вы можете создать резервную копию своих файлов или вернуть среду в состояние, предшествовавшее заражению программой-вымогателем, вам не нужно платить выкуп, чтобы начать процесс восстановления. Убедитесь, что ваши резервные копии полностью отключены от основной сети, чтобы избежать заражения.

  • Инвестируйте в инструменты мониторинга и обнаружения:

Предшественником новых атак программ-вымогателей является проникновение. Если вы можете обнаружить неавторизованного человека, входящего в вашу сеть, вы можете предотвратить атаку и потенциально выгнать их из своей среды, прежде чем они нанесут какой-либо ущерб.

  • По возможности используйте сегментацию сети:

Это всегда работало против программ-вымогателей и работает до сих пор. Если у вас есть надежная система сегментации сети, вы сможете предотвратить заражение вымогателями ваших наиболее важных бизнес-активов, предотвращая даже дальнейшее вымогательство или угрозы утечки данных.

  • Подготовьте план реагирования:

Организации не могут позволить себе неподготовленность к атаке программ-вымогателей. У вас должен быть готов план реагирования на инциденты, и вы, возможно, даже захотите нанять партнера по реагированию или судебно-медицинской экспертизы на гонорар, который может помочь им в случае их взлома. Перед лицом любой атаки программ-вымогателей скорость действий является ключевым фактором.

 

Рост RaaS вызывает беспокойство, но принципы, методы, инструменты и системы безопасности по-прежнему обеспечивают надежную защиту, обнаружение и возможности реагирования. Не пренебрегайте этими важными приоритетами и подумайте о привлечении партнеров, которые могут помочь в обнаружении и реагировании.

Решения для бизнеса от Bitdefender могут помочь в обнаружении и устранении уязвимостей. Оставьте свою заявку для бесплатной консультации!

Новости
24.11.2021
Как защитить дистанционное обучение от киберугроз?
20.11.2021
Что такое RaaS и почему он опасен?
17.11.2021
Будущее контейнерной безопасности для малого и среднего бизнеса