Программа-вымогатель как услуга. Что это значит?

Специфическая модель распространения определенного типа вредоносного ПО – программы-вымогателя в качестве услуги (Ransomware as a Service, RaaS) – представляет собой серьезную угрозу для кибербезопасности. Это партнерская схема, которая позволяет начинающим киберпреступникам осуществлять атаки даже без необходимых технических знаний и опыта программирования. Поэтому такие атаки становятся все более частыми.

Атаки программ-вымогателей бывают крайне разрушительны, поэтому предприятиям очень важно знать, какое влияние оказывает RaaS на кибербезопасность и почему необходимо защищать свои системы.

Как работает модель RaaS

RaaS – это бизнес-модель, которая специализируется на определенном типе вредоносного ПО (программы-вымогатели) и функционирует в даркнете. Проще говоря, это вредоносная разновидность более традиционной, легальной модели Software as a Service, SaaS (программное обеспечение как услуга), которую используют в своей работе многие корпорации, включая Microsoft, Adobe, Shopify, Zoom и Dropbox. Операторы бизнес-модели разрабатывают программу-вымогатель (а иногда и целую сопутствующую экосистему) и предлагают ее третьим лицам. Киберпреступники могут оформить бесплатную подписку на RaaS. Таким образом они становятся партнерами программы и оплачивают услугу уже после атаки, в виде процента от полученной прибыли.

Если киберпреступники планируют атаку с помощью программы-вымогателя, но не имеют времени и возможности разработать собственное вредоносное ПО, они могут просто выбрать RaaS-решение в даркнете. При этом они получают доступ и к самим программам, и ко всем необходимым компонентам: панелям управления, билдерам (программам для быстрого создания уникального вредоносного ПО), обновлениям ПО и интерфейса, инструкциям, службе поддержки и хостингу. В результате они могут сразу осуществить атаку, без необходимости предварительно ее готовить. Таким образом злоумышленники могут реализовать целую цепочку сложных атак, не имея никаких знаний или опыта в разработке программ-вымогателей.

Часто операторы RaaS-модели выстраивают вокруг своего вредоносного ПО целую систему сопутствующих услуг. Это могут быть форумы пользователей, сборники сценариев атак, клиентская поддержка и многое другое. Все это особенно полезно для начинающих вымогателей, у которых еще нет опыта в организации кибератак. Дополнительные услуги в рамках RaaS-модели могут включать:

• инструменты персонализации для организации узконаправленных целевых атак;
• дополнительные инструменты, например программы для извлечения данных из систем;
• форумы пользователей, где можно получить совет или обсудить проблему;
• сборники сценариев атак;
• инструкции по настройке панели управления и самой программы;
• руководства по планированию атак с описанием необходимых инструментов, тактик и технологий.

Какой бы тип RaaS-решения ни выбрал злоумышленник, его конечная цель всегда одна: проникнуть в частную или корпоративную сеть, похитить или зашифровать данные, а затем потребовать выкуп за их расшифровку.

Различия между вредоносным ПО, программами-вымогателями и RaaS

Вредоносное ПО – это собирательный термин для всех типов вредоносных программ, которые позволяют получить несанкционированный доступ к IT-системе или электронному устройству. Атаки с помощью вредоносного ПО могут преследовать самые разные цели: от похищения данных до нарушения работы системы. Программы-вымогатели – это разновидность вредоносного ПО, с помощью которого злоумышленники проникают в систему своей жертвы и шифруют или уничтожают данные. После этого у жертвы вымогают деньги (отсюда и название) за ключ для расшифровки данных или за то, чтобы информация не попала в открытый доступ.

Юридические аспекты модели RaaS

Поскольку RaaS используется для совершения преступлений и функционирует в даркнете, очевидно, что эта бизнес-модель полностью нелегальна. Любая форма участия в этой деятельности – неважно, являетесь ли вы ее организатором или партнером (клиентом) – противозаконна. Это касается как продажи RaaS-решений, так и их покупки с целью осуществления атак, взлома компьютерных сетей, шифрования данных или вымогания денег.

Как работает модель RaaS?

Модель RaaS организована по иерархическому принципу. Наверху пирамиды находятся операторы – группа лиц, которые разрабатывают программы-вымогатели и выставляют их на продажу. Операторы в основном действуют как администраторы RaaS и руководят всеми бизнес-процессами, включая управление инфраструктурой и пользовательским интерфейсом. Часто операторы также принимают платежи и выдают ключи для расшифровки данных тем, кто согласился заплатить выкуп. Внутри группы операторов существуют более мелкие роли, например администраторы, разработчики и тестировщики.

RaaS-партнеры, они же клиенты, покупают доступ к услуге RaaS и используют разработанные операторами программы-вымогатели для осуществления своих атак. Они сами находят возможности для атаки и разрабатывают ее. Задача партнеров – идентифицировать объект атаки, осуществить атаку, установить сумму выкупа, организовать общение с жертвой после атаки и передать ей ключи шифрования после получения денег.

В День шифровальщика 2023 эксперты «Лаборатории Касперского» назвали основные векторы атак программ-вымогателей в 2022 году. Согласно их отчету, более 40% компаний хотя бы раз за предыдущий год подверглись атаке вымогателей. При этом средняя сумма выкупа для предприятий малого и среднего бизнеса составила 6,5 тыс. долларов США, а крупному бизнесу пришлось раскошелиться на более существенную сумму – 98 тыс. долларов США. В исследовании были перечислены основные точки входа атак, в том числе: уязвимости онлайн-приложений (43%), взломанные аккаунты пользователей (24%), электронные письма с вредоносными вложениями (12%).

Как только программа-вымогатель проникает в систему, она пытается отключить защитное ПО конечных точек. После того как злоумышленники получают доступ к системе, они начинают устанавливать необходимые утилиты и вредоносные программы. Это позволяет им продвинуться по сети и начать шифрование данных. После того как данные зашифрованы, вымогатели отправляют письмо с требованием выкупа. Как правило, это текстовый файл, который появляется на экране компьютера. В нем сообщается, что система была взломана и чтобы получить ключ для расшифровки данных, нужно заплатить выкуп.

Как происходит оплата RaaS-услуг?

Киберпреступники могут оформить бесплатную подписку на RaaS. Таким образом они становятся партнерами программы и оплачивают услугу после успешного завершения атаки. Размер платежа зависит от суммы выкупа, который заплатила жертва атаки, и обычно составляет от 10% до 40% от каждой транзакции. Однако стать партнером программы непросто – к кандидатам предъявляются серьезные требования.

Примеры программ-вымогателей как услуги

Киберпреступники постоянно совершенствуют RaaS-услуги, чтобы соответствовать всем требованиям своих клиентов. В даркнете можно найти много разных RaaS-решений. Давайте рассмотрим, что они собой представляют и почему являются серьезной угрозой. Ниже приведены некоторые примеры RaaS-решений, которые получили широкое распространение в последние годы.

• LockBit. Этот шифровальщик проник в корпоративные сети многих организаций, используя сетевой протокол Server Message Blocks (SMB) и PowerShell от компании Microsoft – инструмент автоматизации задач и управления конфигурацией.
• BlackCat. Этот шифровальщик написан на языке Rust, что позволяет легко настраивать его и, как следствие, развертывать на различных системных платформах.
• Hive. Это особенно отвратительная программа-вымогатель среди тех, что распространяются по модели RaaS. Ее жертвы подвергаются особо сильному прессингу: злоумышленники вынуждают их заплатить выкуп, публикуя подробности взлома системы, и нередко даже включают счетчик обратного отсчета, указав дату, когда украденная информация будет раскрыта.
• Dharma. С помощью этой RaaS-программы были осуществлены сотни атак. Этот шифровальщик маскируется под самую популярную разновидность фишинга –почтовый фишинг – и атакует своих жертв через вложения в электронной почте.
• DarkSide. Хакерскую группу, которая разработала это вредоносное ПО, подозревают в осуществлении кибератаки на американский трубопровод Colonial Pipeline в 2021 году.
• REvil. Пожалуй, самая распространенная разновидность RaaS. С помощью этой программы в 2021 году вымогатели атаковали американскую IT-компанию Kaseya. Жертвами этих атак стали около 1,5 тыс. предприятий и финансовая группа CAN.

10 советов, как защитить свои устройства от программ-вымогателей

Атака программ-вымогателей – лишь одна из многочисленных онлайн-угроз, о которых нужно помнить, но восстановление после нее может оказаться сложным и дорогостоящим. Предотвратить эти угрозы полностью невозможно, однако есть немало способов усилить защиту против RaaS и смягчить последствия многих других кибератак. Вот 10 советов, как защитить ваши электронные устройства от программ-вымогателей.

1. Регулярно создавайте резервные копии данных на отдельном устройстве. Если необходимо, создайте несколько резервных копий. Предприятиям необходимо иметь план восстановления данных на случай атаки.
2. Установите надежное защитное ПО для конечных устройств, которое будет регулярно проводить их проверку и удалять потенциальные угрозы.
3. Своевременно обновляйте все программное обеспечение и устанавливайте новейшие патчи безопасности.
4. Установите многофакторную или биометрическую аутентификацию везде, где это возможно.
5. Не забывайте о гигиене паролей. Пользуйтесь надежным менеджером паролей, чтобы создавать сильные пароли и хранить их. Не используйте одни и те же учетные данные для разных аккаунтов.
6. Установите надежный фильтр электронной почты, чтобы отсеивать вредоносные письма и блокировать потенциальные фишинговые атаки.
7. Разработайте и внедрите строгую политику кибербезопасности. Уделяйте внимание внешнему периметру. Убедитесь в том, что комплексная политика кибербезопасности охватывает всю организацию. В рамках этой политики необходимо разработать протоколы безопасности для удаленного доступа, сторонних поставщиков и сотрудников компании.
8. Поскольку злоумышленники могут выставить украденные данные на продажу в даркнет, используйте сервис Kaspersky Digital Footprint Intelligence для мониторинга теневых ресурсов интернета и своевременного обнаружения таких угроз.
9. Используйте принцип наименьших привилегий, чтобы права администратора и доступ к системе получали как можно меньше людей.
10. Проводите тренинги по информационной безопасности, включая защиту от RaaS и других потенциальных угроз.
11. Не переходите по ссылкам в электронных письмах, если отправитель вам незнаком или вы ему не доверяете. Если у вас возникли сомнения, перейдите на страницу напрямую, вручную набрав адрес веб-сайта в поисковой строке браузера.

Даже самые строгие меры защиты не всегда могут предотвратить атаку программ-вымогателей. Но если это случилось, всегда есть способы минимизировать последствия таких атак.

RaaS как постоянная угроза

Программы-вымогатели и сами по себе являются проблемой для кибербезопасности. Однако существование бизнес-модели RaaS сделало это вредоносное ПО еще более серьезной угрозой, поскольку начинающие киберпреступники получили возможность осуществлять атаки без каких-либо специальных знаний или опыта. Эти атаки могут иметь настолько серьезные финансовые последствия для предприятий и частных лиц, что необходимо быть в курсе всех имеющихся способов защиты систем от вымогателей. Основу большинства этих способов составляют базовые рекомендации по кибербезопасности, однако предприятия, вероятно, захотят приложить больше усилий: например, организовать тренинги по безопасности и регулярное резервное копирование особо ценных данных.

Оформите подписку Kaspersky Premium + 1 год бесплатного доступа к Kaspersky Safe Kids. Kaspersky Premium имеет пять наград AV-TEST в категориях «Лучшая защита», «Лучшая производительность», «Самый быстрый VPN», «Родительский контроль на устройствах Windows» и «Родительский контроль на устройствах Android».

Статьи и ссылки по теме:

Самые известные атаки программ-вымогателей

Продукты и решения:

Kaspersky Standard

Kaspersky Premium

Kaspersky Endpoint Security Cloud

Kaspersky VPN Secure Connection