The Ransomware as-a-Service (RaaS) Economy
In the RaaS economy, the service provided is the infrastructure required to perform a ransomware attack. RaaS operators maintain the ransomware malware, offer a payment portal for victims, and may provide the “customer service” that victims might need (since many ransoms are demanded in Bitcoin or other cryptocurrencies). Their affiliates are responsible for spreading the ransomware, and any ransoms paid are split between the operators and the affiliate (typically with the operator receiving 30-40%).
この取り決めは、取引の双方に利益をもたらします。 オペレーターは、社内では達成できないような規模を獲得し、バックエンドインフラストラクチャの保守に集中できます。 一方、アフィリエイトはランサムウェアとそのバックエンドインフラストラクチャにアクセスでき、ネットワークへの侵入とコンピューターへの感染に注意を向けることができます。
この専門化能力は、マルウェアの開発とネットワーク侵入の両方において達成されたものが少ないため、サイバー犯罪者にとって大きなメリットです。 RaaSモデルは、ランサムウェア攻撃が近年着実に増加し続けている主な理由の1つです。
Top Known Ransomware as-a-Service Variants
ランサムウェアの大手企業の多くは、主要なRaaSオペレーターでもあります。 最も多産で危険なRaaSの亜種には、次のようなものがあります。
- リューク: Ryuk ランサムウェアは、現存するランサムウェアの亜種の中で最も多作で高価なものの1つです。 推定によると、Ryukは昨年の ランサムウェア感染の約3分の1 を占めています。 このランサムウェアは、標的に身代金を要求するよう説得するのにも効果的で、 これまでに推定1億5,000万ドルを稼いでいます。
- Lockbit: Lockbit has been around since September 2019, but it has only recently entered the RaaS space. It focuses on rapidly encrypting the systems of large organizations, minimizing the defenders’ opportunity to detect and eliminate the malware before the damage is done.
- REvil/Sodinokibi: REvil competes with Ryuk as the greediest ransomware variant. This malware is spread in various ways, and REvil affiliates have been known to exploit unpatched Citrix and Pulse Secure VPNs to infect systems.
- Egregor/Maze: The Maze ransomware variant made history as the first to introduce “double extortion”, which involves stealing data as part of a ransomware attack and threatening to breach it if a ransom is not paid. While Maze has since ceased operations, related ransomware variants – like Egregor – are still operational and run under the RaaS affiliate model.
これらは、RaaSモデルを利用するランサムウェアの亜種のほんの一部です。 他の多くのランサムウェアグループもアフィリエイトと協力しています。 しかし、これらのランサムウェアグループの規模と成功は、マルウェアを広めるために専門家を引き付ける力があることを意味します。
RaaS 攻撃からの保護
ランサムウェア攻撃は拡大を続けており、RaaSは、サイバー犯罪者がマルウェアの作成者またはネットワーク侵入の専門家のいずれかに特化できることを意味します。 組織は、重要なファイルが暗号化される前に、ランサムウェア感染を検出して修復できるエンドポイントセキュリティソリューションを導入する必要があります。
Check Point SandBlast Agent provides comprehensive endpoint security protections. It incorporates a wide range of anti-ransomware functionality, including:
- Complete Attack Vector Coverage: Ransomware can be delivered in a number of ways, including via phishing emails, drive-by downloads, compromised user accounts, and more. SandBlast Agent provides complete protection against all potential ransomware delivery vectors.
- 行動ガード: ランサムウェアは、ファイルの暗号化やOSバックアップの削除など、その中核的な動作の一部に基づいて識別できます。 SandBlast Agent は、これらの異常な動作を監視し、マルウェアが貴重なデータを暗号化する前に感染を終了できるようにします。
- 自動修復: SandBlast Agent は、ランタイムモードであっても、ランサムウェアに対するランタイム保護を提供します。 これには、ランサムウェア攻撃チェーン全体の完全な修復が含まれ、マルウェアの痕跡をすべて排除します。
- Secure Backup and Restore: Ransomware commonly deletes OS backups such as shadow copies of files. SandBlast Agent stores backups in memory accessible only to Check Point programs, enabling it to restore files even if OS backups are deleted.
- 脅威ハンティングのサポート: 脅威ハンティングにより 、セキュリティチームはシステム上の マルウェア感染の兆候をプロアクティブに検索 できます。 SandBlast Agent は、重要なデータを収集、整理、分析し、脅威ハンティングをより効率的かつ効果的にします。
Ransomware protection should be part of any organization’s security strategy, and SandBlast Agent provides peace of mind in the face of the ransomware threat. To learn more about SandBlast Agent and its capabilities, check out this solution brief. You’re also welcome to request a personalized demo to discuss how Check Point can help to improve your organization’s ransomware defenses.
Feedback