The Ransomware as-a-Service (RaaS) Economy
In the RaaS economy, the service provided is the infrastructure required to perform a ransomware attack. RaaS operators maintain the ransomware malware, offer a payment portal for victims, and may provide the “customer service” that victims might need (since many ransoms are demanded in Bitcoin or other cryptocurrencies). Their affiliates are responsible for spreading the ransomware, and any ransoms paid are split between the operators and the affiliate (typically with the operator receiving 30-40%).
Este acuerdo proporciona beneficios a ambos lados del trato. El operador obtiene una escala que es poco probable que pueda lograr internamente y puede concentrarse en mantener la infraestructura de backend. El afiliado, por otro lado, recibe acceso al ransomware y su infraestructura de back-end y puede centrar su atención en infiltrarse en red e infectar computadoras.
Esta capacidad de especializarse es un beneficio importante para los ciberdelincuentes, ya que pocos logran desarrollar malware y penetrar la red. El modelo RaaS es una de las principales razones por las que los ataques de ransomware han podido seguir creciendo de manera constante en los últimos años.
Top Known Ransomware as-a-Service Variants
Muchos de los nombres más importantes del ransomware son también los principales operadores de RaaS. Algunas de las variantes de RaaS más prolíficas y peligrosas incluyen:
- Ryuk: Ryuk ransomware es una de las variantes de ransomware más prolíficas y costosas que existen. Las estimaciones dicen que Ryuk es responsable de aproximadamente un tercio de las infecciones de ransomware en el último año. El ransomware también es eficaz para convencer a los objetivos de que paguen sus demandas de rescate y se estima que ha recaudado 150 millones de dólares hasta la fecha.
- Lockbit: Lockbit has been around since September 2019, but it has only recently entered the RaaS space. It focuses on rapidly encrypting the systems of large organizations, minimizing the defenders’ opportunity to detect and eliminate the malware before the damage is done.
- REvil/Sodinokibi: REvil competes with Ryuk as the greediest ransomware variant. This malware is spread in various ways, and REvil affiliates have been known to exploit unpatched Citrix and Pulse Secure VPNs to infect systems.
- Egregor/Maze: The Maze ransomware variant made history as the first to introduce “double extortion”, which involves stealing data as part of a ransomware attack and threatening to breach it if a ransom is not paid. While Maze has since ceased operations, related ransomware variants – like Egregor – are still operational and run under the RaaS affiliate model.
Estas son sólo algunas de las variantes de ransomware que utilizan el modelo RaaS. Muchos otros grupos de ransomware también trabajan con afiliados. Sin embargo, la escala y el éxito de estos grupos de ransomware significa que tienen la capacidad de atraer especialistas para difundir su malware.
Protección contra ataques RaaS
El ataque de ransomware continúa creciendo y RaaS significa que los ciberdelincuentes pueden especializarse como autores de malware o especialistas en penetración roja. Las organizaciones deben implementar soluciones de seguridad de terminales capaces de detectar y remediar infecciones de ransomware antes de cifrar los archivos críticos.
Check Point SandBlast Agent provides comprehensive endpoint security protections. It incorporates a wide range of anti-ransomware functionality, including:
- Complete Attack Vector Coverage: Ransomware can be delivered in a number of ways, including via phishing emails, drive-by downloads, compromised user accounts, and more. SandBlast Agent provides complete protection against all potential ransomware delivery vectors.
- Guardia de comportamiento: el ransomware se puede identificar en función de algunos de sus comportamientos principales, incluido el cifrado de archivos y la eliminación de copias de seguridad SO. SandBlast Agent monitorea estos comportamientos anómalos, lo que le permite terminar una infección antes de que el malware pueda cifrar datos valiosos.
- Corrección automatizada: SandBlast Agent ofrece protección en tiempo de ejecución contra ransomware, incluso en modo de ejecución. Esto incluye la remediación completa de toda la cadena de ataque de ransomware, eliminando todos los rastros del malware.
- Secure Backup and Restore: Ransomware commonly deletes OS backups such as shadow copies of files. SandBlast Agent stores backups in memory accessible only to Check Point programs, enabling it to restore files even if OS backups are deleted.
- Soporte de Threat Hunting: La búsqueda de amenazas permite a los equipos de seguridad buscar de forma proactiva indicios de infecciones de malware en sus sistemas. SandBlast Agent recopila, organiza y analiza datos críticos, lo que hace que la búsqueda de amenazas sea más eficiente y efectiva.
Ransomware protection should be part of any organization’s security strategy, and SandBlast Agent provides peace of mind in the face of the ransomware threat. To learn more about SandBlast Agent and its capabilities, check out this solution brief. You’re also welcome to request a personalized demo to discuss how Check Point can help to improve your organization’s ransomware defenses.
Comentarios