Hvad er ransomware as a service?

Læs dette blogindlæg for at lære, hvordan ransomware as a service fungerer, og hvordan din virksomhed bedst kan beskytte sig mod ransomware-angreb.

8 minutters læsning. Udgivet den 04-07-2022 under kategorien: malware.

Hvad er ransomware as a service?

Ransomware-angreb er desværre en stigende tendens inden for it-kriminalitet, som truer virksomheder og offentlige myndigheder.

Grunden til den pludselige stigning i ransomware-angreb har været et skift fra en lineær angrebsmodel til mere kompleks og forretningsorienteret ransomware as a service-model.

Dette skift har gjort det meget mere lukrativt at bruge ransomware, da det er nemt for hackere bag ransomware as a service at tjene penge hurtigt.

Læs dette blogindlæg for at lære, hvordan ransomware as a service fungerer, og hvordan din virksomhed bedst kan beskytte sig mod ransomware-angreb.

Hvad er ransomware-angreb?

Ransomware er en type ondsindet software (malware), der truer med at offentliggøre eller blokerer adgang til vigtige data, dokumenter eller et computersystem, normalt ved at kryptere filer eller data, indtil offeret betaler en løsesum til hackerne bag angrebet.

I mange tilfælde kommer kravet om løsesum med en deadline. Hvis offeret ikke kan betale løsesummen i tide, er de vedhæftede filer eller krypterede data væk for altid, eller løsesummen stiger.

Offeret kan se, at deres computer er blevet inficeret, da det ikke er muligt at få adgang, og fordi der typisk kommer en besked op på computerskærmen, der beskriver angrebet og løsesummen.

Du kan i alvorlige tilfælde som organisation miste alle dine filer eller skulle betale mange penge.

Definitionen af ransomware as a service (RaaS)

Ransomware as a service (RaaS) er en forretningsmodel, der involverer salg eller udlejning af ransomware (den ondsindede kode) til købere, kaldet affiliates. RaaS kan krediteres som en af de primære årsager til den hurtige spredning af ransomware-angreb, da det har gjort det nemmere for en række trusselsaktører - selv dem, der ikke har en store teknisk viden - at iværksætte ransomware-angreb mod virksomheder.

Ransomware as a service er inspireret af software as a service (SaaS) forretningsmodellen, som har været brugt af softwarevirksomheder i mange år.

Tidligere var viden om kodning været et krav for alle succesrige hackere. Men nu, med udviklingen af RaaS-modellen, er denne tekniske forudsætning blevet sekundær eller for nogen, unødvendig.

Som alle andre software as a service-løsninger behøver RaaS-brugere ikke at være dygtige eller endda erfarne for at bruge værktøjet. RaaS-løsninger giver derfor selv de mest nye hackere mulighed for at udføre meget sofistikerede cyberangreb.

Hvordan virker ransomware as a service?

For at RaaS-modellen skal fungere, skal hackere starte med ekspertkodet ransomware udviklet af dygtige ransomware-operatører. Ransomware-udviklerne skal typisk være velrenommerede for at få købere til at tilmelde sig og sprede malware.

Operatører er normalt organiseret i en gruppe og har udpegede roller som leder, udviklere og infrastruktur- og systemadministratorer.

Nogle roller og værktøjer kan også outsources eller erhverves gennem affiliate-programmer. For eksempel benytter nogle operatører sig af access-as-a-service (AaaS), som kan give forskellige adgangsmuligheder til målrettede organisationer.

Andre grupper kan også have stærke penetrationstesthold, men mangler muligvis den nødvendige ransomware-software.

Disse penetrationstesthold deltager ofte som RaaS-affiliates og bruger ransomware-værktøjer og infrastruktur til affiliate-programmer, når et mål er kompromitteret. Affiliates kan fungere uafhængigt eller som medlem af organiserede grupper.

Anerkendte RaaS-udviklere skaber software med en høj chance for penetrationssucces og en lav chance for opdagelse.

Ransomware as a service og køberne

Når ransomwaren er udviklet, er den modificeret til en multi-end brugerinfrastruktur. Softwaren er derefter klar til at blive licenseret til flere købere (affiliates). Indtægtsmodellen for RaaS-løsninger afspejler SaaS-produkter, og købere kan f.eks. enten tilmelde sig med et engangsgebyr eller et månedligt abonnement.

Ransomware-købere understøttes med onboarding-dokumentation, der indeholder en trin-for-trin guide til at starte ransomware-angreb med malwaren. Nogle RaaS-distributører giver endda tilknyttede købere en dashboard-løsning for at hjælpe dem med at overvåge status for hvert forsøg på ransomware-infektion.

For at finde potentielle købere, lægger hackere bag RaaS opslag op på fora på the dark web. Nogle ransomware-grupper, som Circus Spider, ønsker kun købere med specifikke tekniske færdigheder på grund af deres større chancer for succesfuldt at ramme store og velkendte virksomheder.

Andre ransomware-grupper er udelukkende interesseret i hurtig distribution og har meget få krav til køberne.

Hver ny affiliate får en brugerdefineret udnyttelseskode til deres unikke ransomware-angreb. Denne brugerdefinerede kode sendes derefter til webstedet, der er vært for RaaS-softwaren for køberen.

Med det affilierede hosting-websted opdateret, er RaaS-brugere klar til at starte deres ransomware-angreb.

Indtægtsmodeller i ransomware as a service

Der er fire almindelige RaaS-indtægtsmodeller:

De mest sofistikerede RaaS-operatører tilbyder portaler, der lader deres abonnenter se status for infektioner, samlede betalinger, samlede krypterede filer og anden information om deres mål. En affiliate kan blot logge ind på RaaS-portalen, oprette en konto, betale med Bitcoin, indtaste detaljer om den type malware, de ønsker at oprette, og klikke på send-knappen.

Abonnenter kan have adgang til support, fællesskaber, dokumentation, funktionsopdateringer og andre fordele, der er identiske med dem, som abonnenter på legitime SaaS-produkter modtager.

RaaS-markedet er konkurrencedygtigt. Udover RaaS-portaler kører RaaS-operatører marketingkampagner og har hjemmesider, der ligner din egen virksomheds kampagner og hjemmesider.

De har videoer, læsningsmateriale og er aktive på Twitter. RaaS er forretning, og det er big business: De samlede ransomware-indtægter i 2020 var omkring 20 milliarder dollars, op fra 11,5 milliarder dollars året før.

Nogle velkendte eksempler på RaaS-kits inkluderer Locky, Goliath, Shark, Stampado, Encryptor og Jokeroo, men der er mange andre, og RaaS-operatører forsvinder jævnligt, omorganiserer og genopstår med nyere og bedre ransomware-varianter.

Eksempler på RaaS-angreb og grupper

Darkside.

DarkSide er en RaaS-gruppe, hvis operatører oprindeligt fokuserede på Windows-maskiner og for nyligt har udvidet til Linux. Deres RaaS er rettet mod virksomhedsmiljøer, der kører upatchede VMware ESXi-hypervisorer. Derudover stjæler de vCenter-legitimationsoplysninger. Den 10. maj 2022 indikerede FBI offentligt, at Colonial Pipeline-hændelsen involverede DarkSide-ransomware. Det blev senere rapporteret, at Colonial Pipeline havde fået stjålet cirka 100 GB data fra deres netværk, og organisationen betalte angiveligt næsten $5 millioner dollars til et DarkSide-tilknyttet selskab.

REvil.

REvil, også kendt som Sodinokibi, blev identificeret som den ransomware bag et af de største løsesumskrav nogensinde: $10 millioner dollars. Den sælges af den kriminelle gruppe PINCHY SPIDER, som sælger RaaS under affiliate-modellen og typisk tager 40% af overskuddet.

I lighed med gruppen TWISTED SPIDERs lækager af data, advarer PINCHY SPIDER deres ofre, før de lækker de stjålne data, normalt via et blogindlæg på deres DLS, der indeholder prøvedata som bevis, før de frigiver størstedelen af dataene efter en given tid.

REvil vil typisk også lægge et link til blogindlægget i den ransomware-besked, som ofrene får, når deres systemer bliver ramt af et angreb.

Linket viser, hvilke data, der vil blive lækket, før de lækkes til offentligheden. Når en person klikker på linket, starter en timer, der viser hvor lang tid, der er til, at dataene bliver lækket.

Dharma.

Dharma ransomware-angreb er blevet tilskrevet en økonomisk motiveret iransk trusselgruppe. Denne RaaS har været tilgængelig på the dark web siden 2016 og er hovedsageligt forbundet med remote desktop protocol (RDP) angreb. Hackere kræver normalt 1-5 bitcoins fra deres ofre på tværs af en lang række brancher.

Dharma er ikke centralt styret, i modsætning til REvil og andre RaaS-kits.

Dharma-varianter kommer fra mange kilder, og mange hændelser har næsten et 100% match mellem eksempelfiler. De eneste forskelle er normalt krypteringsnøglerne, kontakt-e-mail og et par andre ting, der kan tilpasses gennem en RaaS-portal. Fordi Dharma-angreb er næsten identiske, er retshåndhævende myndigheder ikke i stand til at bruge en hændelse til at lære meget om, hvem der står bag et Dharma-angreb, og hvordan de fungerer.

LockBit.

LockBit er blevet udviklet siden september 2019, og LockBit er tilgængeligt som en RaaS rettet mod russisktalende brugere eller engelsktalende med russisktalende kontakter. I maj 2020 udsendte en affiliate, der brugte LockBit, en trussel om at lække data på et populært russisksproget kriminelt forum.

Ud over truslen fremlagde køberen bevis, bl.a. et skærmbillede af et eksempeldokument indeholdt i offerdataene. Dette er blot én af mange trusler.

Når den fremsatte frist er udløbet, er denne køber kendt for at poste et link, der kan bruges til at downloade de stjålne offerdata. Denne affiliate har truet med at offentliggøre data fra mindst ni ofre.

Forebyggelse af RaaS-angreb gennem it-sikkerhed

At gendanne data fra et ransomware-angreb kan være svært og dyrt, og som følge heraf er det bedst at forhindre dem helt ved at have en stærk it-sikkerhed. Trinene til at forhindre et RaaS-angreb, eller undgå malware generelt, er de samme som at forhindre ethvert ransomware-angreb, fordi RaaS bare er brugervenlig ransomware til alle med dårlige hensigter:

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg