Специфическая модель распространения определенного типа вредоносного ПО – программы-вымогателя в качестве услуги (Ransomware as a Service, RaaS) – представляет собой серьезную угрозу для кибербезопасности. Это партнерская схема, которая позволяет начинающим киберпреступникам осуществлять атаки даже без необходимых технических знаний и опыта программирования. Поэтому такие атаки становятся все более частыми.
Атаки программ-вымогателей бывают крайне разрушительны, поэтому предприятиям очень важно знать, какое влияние оказывает RaaS на кибербезопасность и почему необходимо защищать свои системы.
RaaS – это бизнес-модель, которая специализируется на определенном типе вредоносного ПО (программы-вымогатели) и функционирует в даркнете. Проще говоря, это вредоносная разновидность более традиционной, легальной модели Software as a Service, SaaS (программное обеспечение как услуга), которую используют в своей работе многие корпорации, включая Microsoft, Adobe, Shopify, Zoom и Dropbox. Операторы бизнес-модели разрабатывают программу-вымогатель (а иногда и целую сопутствующую экосистему) и предлагают ее третьим лицам. Киберпреступники могут оформить бесплатную подписку на RaaS. Таким образом они становятся партнерами программы и оплачивают услугу уже после атаки, в виде процента от полученной прибыли.
Если киберпреступники планируют атаку с помощью программы-вымогателя, но не имеют времени и возможности разработать собственное вредоносное ПО, они могут просто выбрать RaaS-решение в даркнете. При этом они получают доступ и к самим программам, и ко всем необходимым компонентам: панелям управления, билдерам (программам для быстрого создания уникального вредоносного ПО), обновлениям ПО и интерфейса, инструкциям, службе поддержки и хостингу. В результате они могут сразу осуществить атаку, без необходимости предварительно ее готовить. Таким образом злоумышленники могут реализовать целую цепочку сложных атак, не имея никаких знаний или опыта в разработке программ-вымогателей.
Часто операторы RaaS-модели выстраивают вокруг своего вредоносного ПО целую систему сопутствующих услуг. Это могут быть форумы пользователей, сборники сценариев атак, клиентская поддержка и многое другое. Все это особенно полезно для начинающих вымогателей, у которых еще нет опыта в организации кибератак. Дополнительные услуги в рамках RaaS-модели могут включать:
Какой бы тип RaaS-решения ни выбрал злоумышленник, его конечная цель всегда одна: проникнуть в частную или корпоративную сеть, похитить или зашифровать данные, а затем потребовать выкуп за их расшифровку.
Вредоносное ПО – это собирательный термин для всех типов вредоносных программ, которые позволяют получить несанкционированный доступ к IT-системе или электронному устройству. Атаки с помощью вредоносного ПО могут преследовать самые разные цели: от похищения данных до нарушения работы системы. Программы-вымогатели – это разновидность вредоносного ПО, с помощью которого злоумышленники проникают в систему своей жертвы и шифруют или уничтожают данные. После этого у жертвы вымогают деньги (отсюда и название) за ключ для расшифровки данных или за то, чтобы информация не попала в открытый доступ.
Поскольку RaaS используется для совершения преступлений и функционирует в даркнете, очевидно, что эта бизнес-модель полностью нелегальна. Любая форма участия в этой деятельности – неважно, являетесь ли вы ее организатором или партнером (клиентом) – противозаконна. Это касается как продажи RaaS-решений, так и их покупки с целью осуществления атак, взлома компьютерных сетей, шифрования данных или вымогания денег.
Модель RaaS организована по иерархическому принципу. Наверху пирамиды находятся операторы – группа лиц, которые разрабатывают программы-вымогатели и выставляют их на продажу. Операторы в основном действуют как администраторы RaaS и руководят всеми бизнес-процессами, включая управление инфраструктурой и пользовательским интерфейсом. Часто операторы также принимают платежи и выдают ключи для расшифровки данных тем, кто согласился заплатить выкуп. Внутри группы операторов существуют более мелкие роли, например администраторы, разработчики и тестировщики.
RaaS-партнеры, они же клиенты, покупают доступ к услуге RaaS и используют разработанные операторами программы-вымогатели для осуществления своих атак. Они сами находят возможности для атаки и разрабатывают ее. Задача партнеров – идентифицировать объект атаки, осуществить атаку, установить сумму выкупа, организовать общение с жертвой после атаки и передать ей ключи шифрования после получения денег.
В День шифровальщика 2023 эксперты «Лаборатории Касперского» назвали основные векторы атак программ-вымогателей в 2022 году. Согласно их отчету, более 40% компаний хотя бы раз за предыдущий год подверглись атаке вымогателей. При этом средняя сумма выкупа для предприятий малого и среднего бизнеса составила 6,5 тыс. долларов США, а крупному бизнесу пришлось раскошелиться на более существенную сумму – 98 тыс. долларов США. В исследовании были перечислены основные точки входа атак, в том числе: уязвимости онлайн-приложений (43%), взломанные аккаунты пользователей (24%), электронные письма с вредоносными вложениями (12%).
Как только программа-вымогатель проникает в систему, она пытается отключить защитное ПО конечных точек. После того как злоумышленники получают доступ к системе, они начинают устанавливать необходимые утилиты и вредоносные программы. Это позволяет им продвинуться по сети и начать шифрование данных. После того как данные зашифрованы, вымогатели отправляют письмо с требованием выкупа. Как правило, это текстовый файл, который появляется на экране компьютера. В нем сообщается, что система была взломана и чтобы получить ключ для расшифровки данных, нужно заплатить выкуп.
Киберпреступники могут оформить бесплатную подписку на RaaS. Таким образом они становятся партнерами программы и оплачивают услугу после успешного завершения атаки. Размер платежа зависит от суммы выкупа, который заплатила жертва атаки, и обычно составляет от 10% до 40% от каждой транзакции. Однако стать партнером программы непросто – к кандидатам предъявляются серьезные требования.
Киберпреступники постоянно совершенствуют RaaS-услуги, чтобы соответствовать всем требованиям своих клиентов. В даркнете можно найти много разных RaaS-решений. Давайте рассмотрим, что они собой представляют и почему являются серьезной угрозой. Ниже приведены некоторые примеры RaaS-решений, которые получили широкое распространение в последние годы.
Атака программ-вымогателей – лишь одна из многочисленных онлайн-угроз, о которых нужно помнить, но восстановление после нее может оказаться сложным и дорогостоящим. Предотвратить эти угрозы полностью невозможно, однако есть немало способов усилить защиту против RaaS и смягчить последствия многих других кибератак. Вот 10 советов, как защитить ваши электронные устройства от программ-вымогателей.
Даже самые строгие меры защиты не всегда могут предотвратить атаку программ-вымогателей. Но если это случилось, всегда есть способы минимизировать последствия таких атак.
Программы-вымогатели и сами по себе являются проблемой для кибербезопасности. Однако существование бизнес-модели RaaS сделало это вредоносное ПО еще более серьезной угрозой, поскольку начинающие киберпреступники получили возможность осуществлять атаки без каких-либо специальных знаний или опыта. Эти атаки могут иметь настолько серьезные финансовые последствия для предприятий и частных лиц, что необходимо быть в курсе всех имеющихся способов защиты систем от вымогателей. Основу большинства этих способов составляют базовые рекомендации по кибербезопасности, однако предприятия, вероятно, захотят приложить больше усилий: например, организовать тренинги по безопасности и регулярное резервное копирование особо ценных данных.
Оформите подписку Kaspersky Premium + 1 год бесплатного доступа к Kaspersky Safe Kids. Kaspersky Premium имеет пять наград AV-TEST в категориях «Лучшая защита», «Лучшая производительность», «Самый быстрый VPN», «Родительский контроль на устройствах Windows» и «Родительский контроль на устройствах Android».
Статьи и ссылки по теме:
Самые известные атаки программ-вымогателей
Продукты и решения: