The Ransomware as-a-Service (RaaS) Economy
In the RaaS economy, the service provided is the infrastructure required to perform a ransomware attack. RaaS operators maintain the ransomware malware, offer a payment portal for victims, and may provide the “customer service” that victims might need (since many ransoms are demanded in Bitcoin or other cryptocurrencies). Their affiliates are responsible for spreading the ransomware, and any ransoms paid are split between the operators and the affiliate (typically with the operator receiving 30-40%).
Esse acordo oferece benefícios para ambos os lados do acordo. A operadora ganha uma escala que provavelmente não conseguirá alcançar internamente e pode se concentrar na manutenção da infraestrutura de back-end. O afiliado, por outro lado, recebe acesso ao ransomware e à sua infraestrutura de back-end e pode concentrar sua atenção na infiltração na rede e na infecção de computadores.
Essa capacidade de especialização é um grande benefício para os cibercriminosos, já que poucos conseguem desenvolver malware e penetrar na rede. O modelo RaaS é uma das principais razões pelas quais os ataques de ransomware têm conseguido continuar a crescer de forma constante nos últimos anos.
Top Known Ransomware as-a-Service Variants
Muitos dos maiores nomes do ransomware também são os principais operadores de RaaS. Algumas das variantes RaaS mais prolíficas e perigosas incluem:
- Ryuk: O ransomware Ryuk é uma das variantes de ransomware mais prolíficas e caras que existem. As estimativas dizem que Ryuk é responsável por cerca de um terço das infecções por ransomware no ano passado. O ransomware também é eficaz em convencer os alvos a pagarem suas exigências de resgate e já faturou cerca de US$ 150 milhões até o momento.
- Lockbit: Lockbit has been around since September 2019, but it has only recently entered the RaaS space. It focuses on rapidly encrypting the systems of large organizations, minimizing the defenders’ opportunity to detect and eliminate the malware before the damage is done.
- REvil/Sodinokibi: REvil competes with Ryuk as the greediest ransomware variant. This malware is spread in various ways, and REvil affiliates have been known to exploit unpatched Citrix and Pulse Secure VPNs to infect systems.
- Egregor/Maze: The Maze ransomware variant made history as the first to introduce “double extortion”, which involves stealing data as part of a ransomware attack and threatening to breach it if a ransom is not paid. While Maze has since ceased operations, related ransomware variants – like Egregor – are still operational and run under the RaaS affiliate model.
Estas são apenas algumas das variantes de ransomware que utilizam o modelo RaaS. Muitos outros grupos de ransomware também trabalham com afiliados. No entanto, a escala e o sucesso destes grupos de ransomware significam que eles têm a capacidade de atrair especialistas para espalhar o seu malware.
Proteção contra ataques RaaS
O ataque de ransomware continua a crescer e o RaaS significa que os cibercriminosos podem se especializar como autores de malware ou especialistas em penetração de rede. As organizações devem implantar soluções de Segurança de endpoint capazes de detectar e remediar infecções de ransomware antes que arquivos críticos sejam criptografados.
Check Point SandBlast Agent provides comprehensive endpoint security protections. It incorporates a wide range of anti-ransomware functionality, including:
- Complete Attack Vector Coverage: Ransomware can be delivered in a number of ways, including via phishing emails, drive-by downloads, compromised user accounts, and more. SandBlast Agent provides complete protection against all potential ransomware delivery vectors.
- Guarda Comportamental: O ransomware pode ser identificado com base em alguns de seus principais comportamentos, incluindo criptografia de arquivos e exclusão de backups de SO. O SandBlast Agent monitora esses comportamentos anômalos, permitindo encerrar uma infecção antes que o malware possa criptografar dados valiosos.
- Correção automatizada: o SandBlast Agent oferece proteção em tempo de execução contra ransomware, mesmo no modo de tempo de execução. Isso inclui a correção completa de toda a cadeia de ataque de ransomware, eliminando todos os vestígios do malware.
- Secure Backup and Restore: Ransomware commonly deletes OS backups such as shadow copies of files. SandBlast Agent stores backups in memory accessible only to Check Point programs, enabling it to restore files even if OS backups are deleted.
- Suporte à caça de ameaças: A caça a ameaças permite que as equipes de segurança procurem proativamente indicações de infecções por malware em seus sistemas. O SandBlast Agent coleta, organiza e analisa dados críticos, tornando a caça a ameaças mais eficiente e eficaz.
Ransomware protection should be part of any organization’s security strategy, and SandBlast Agent provides peace of mind in the face of the ransomware threat. To learn more about SandBlast Agent and its capabilities, check out this solution brief. You’re also welcome to request a personalized demo to discuss how Check Point can help to improve your organization’s ransomware defenses.
Opinião