The Ransomware as-a-Service (RaaS) Economy
In the RaaS economy, the service provided is the infrastructure required to perform a ransomware attack. RaaS operators maintain the ransomware malware, offer a payment portal for victims, and may provide the “customer service” that victims might need (since many ransoms are demanded in Bitcoin or other cryptocurrencies). Their affiliates are responsible for spreading the ransomware, and any ransoms paid are split between the operators and the affiliate (typically with the operator receiving 30-40%).
Cet accord présente des avantages pour les deux parties. L'opérateur obtient une échelle qu'il ne pourrait probablement pas atteindre en interne et peut se concentrer sur la maintenance de l'infrastructure dorsale. L'affilié, quant à lui, a accès au logiciel rançonneur et à son infrastructure dorsale et peut se concentrer sur l'infiltration du réseau et l'infection des ordinateurs.
Cette capacité à se spécialiser est un avantage majeur pour les cybercriminels, car peu d'entre eux sont capables de développer un logiciel malveillant et de pénétrer dans un réseau. Le modèle RaaS est l'une des principales raisons pour lesquelles les attaques de logiciels rançonneur ont pu continuer à croître régulièrement ces dernières années.
Top Known Ransomware as-a-Service Variants
La plupart des grands noms du logiciel rançonneur sont également les principaux opérateurs RaaS. Parmi les variantes RaaS les plus prolifiques et les plus dangereuses, on peut citer
- Ryuk : Ryuk logiciel rançonneur est l'une des variantes de logiciel rançonneur les plus prolifiques et les plus chères qui existent. On estime que Ryuk est responsable d'environ un tiers des infections par le logiciel rançonneur au cours de l'année écoulée. Le logiciel rançonneur est également efficace pour convaincre les cibles de payer les rançons qu'il réclame, et il a rapporté environ 150 millions de dollars à ce jour.
- Lockbit: Lockbit has been around since September 2019, but it has only recently entered the RaaS space. It focuses on rapidly encrypting the systems of large organizations, minimizing the defenders’ opportunity to detect and eliminate the malware before the damage is done.
- REvil/Sodinokibi: REvil competes with Ryuk as the greediest ransomware variant. This malware is spread in various ways, and REvil affiliates have been known to exploit unpatched Citrix and Pulse Secure VPNs to infect systems.
- Egregor/Maze: The Maze ransomware variant made history as the first to introduce “double extortion”, which involves stealing data as part of a ransomware attack and threatening to breach it if a ransom is not paid. While Maze has since ceased operations, related ransomware variants – like Egregor – are still operational and run under the RaaS affiliate model.
Ce ne sont là que quelques-unes des variantes du logiciel rançonneur utilisant le modèle RaaS. De nombreux autres groupes de logiciel rançonneur travaillent également avec des affiliés. Toutefois, l'ampleur et le succès de ces groupes de logiciel rançonneur leur permettent d'attirer des spécialistes pour diffuser leur logiciel malveillant.
Protection contre les attaques RaaS
L'attaque du logiciel rançonneur continue de se développer, et RaaS signifie que les cybercriminels peuvent se spécialiser en tant qu'auteurs de logiciels malveillants ou en tant que spécialistes de la pénétration de réseaux. Les entreprises doivent déployer des solutions de sécurité des postes capables de détecter et de remédier aux infections du logiciel rançonneur avant que les fichiers critiques ne soient cryptés.
Check Point SandBlast Agent provides comprehensive endpoint security protections. It incorporates a wide range of anti-ransomware functionality, including:
- Complete Attack Vector Coverage: Ransomware can be delivered in a number of ways, including via phishing emails, drive-by downloads, compromised user accounts, and more. SandBlast Agent provides complete protection against all potential ransomware delivery vectors.
- Behavioral Guard : le logiciel rançonneur peut être identifié sur la base de certains de ses comportements principaux, notamment le cryptage des fichiers et la suppression des sauvegardes du système d'exploitation. SandBlast Agent surveille ces comportements anormaux, ce qui lui permet de mettre fin à une infection avant que le logiciel malveillant ne puisse chiffrer des données précieuses.
- Remédiation automatisée : SandBlast Agent offre une protection contre le logiciel rançonneur, même en mode d'exécution. Il s'agit notamment de remédier à l'ensemble de la chaîne d'attaque du logiciel rançonneur, en éliminant toutes les traces du logiciel malveillant.
- Secure Backup and Restore: Ransomware commonly deletes OS backups such as shadow copies of files. SandBlast Agent stores backups in memory accessible only to Check Point programs, enabling it to restore files even if OS backups are deleted.
- Assistance à la chasse aux menaces : La chasse aux menaces permet aux équipes de sécurité de rechercher de manière proactive des indices d'infections par des logiciels malveillants sur leurs systèmes. SandBlast Agent collecte, organise et analyse les données critiques, rendant la chasse aux menaces plus efficace.
Ransomware protection should be part of any organization’s security strategy, and SandBlast Agent provides peace of mind in the face of the ransomware threat. To learn more about SandBlast Agent and its capabilities, check out this solution brief. You’re also welcome to request a personalized demo to discuss how Check Point can help to improve your organization’s ransomware defenses.
Commentaires