O RaaS funciona da mesma forma que os modelos de negócios legítimos de software como serviço (SaaS). Os desenvolvedores de ransomware, também chamados de operadores de RaaS, assumem o trabalho de desenvolvimento e manutenção de ferramentas e infraestrutura de ransomware. Eles empacotam suas ferramentas e serviços em kits RaaS que vendem para outros hackers, chamados afiliados RaaS . 

A maioria dos operadores usa um dos seguintes modelos de receita para vender seus kits:

• Assinatura mensal: os afiliados do RaaS pagam uma taxa recorrente, às vezes de apenas USD 40 por mês, para ter acesso às ferramentas de ransomware.
  
  
• Taxa única: os afiliados pagam uma taxa única para comprar o código ransomware imediatamente.
  
  
• Modelos de afiliados: Os afiliados pagam uma taxa mensal e compartilham uma pequena porcentagem de quaisquer pagamentos de resgate que recebem com as operadores.
  
  
• Participação nos lucros: as operadoras não cobram nada adiantado, mas recebem um corte significativo de cada resgate que o afiliado recebe, muitas vezes de 30% a 40%. 

Os kits RaaS são anunciados em fóruns da dark web e alguns operadores de ransomware recrutam ativamente novos afiliados. O grupo REvil, por exemplo, gastou USD 1 milhão como parte de uma grande campanha de recrutamento em outubro de 2020 (link fora de ibm.com).

Depois de adquirirem um kit, os afiliados recebem mais do que apenas malware e chaves de descriptografia. Normalmente recebem um nível de serviço e suporte equivalente aos fornecedores de SaaS legais. Alguns dos operadores de RaaS mais sofisticados podem oferecer comodidades como suporte técnico contínuo, acesso a fóruns privados onde os hackers podem trocar dicas e informações, portais de processamento de pagamentos (já que a maioria dos pagamentos de resgate são solicitados em criptomoedas não rastreáveis como Bitcoin) e até mesmo ferramentas e suporte para escrever notas de resgate personalizadas ou negociar pedidos de resgate.

Embora o potencial de lucro seja um fator importante na proliferação do RaaS, os programas de afiliados também oferecem benefícios adicionais aos hackers e desenvolvedores de ransomware, além de apresentarem desafios adicionais aos profissionais de cibersegurança. 

Atribuição difusa de incidentes de ransomware. Sob o modelo RaaS, as pessoas que realizam ataques cibernéticos podem não ser as mesmas pessoas que desenvolveram o malware em uso. Além disso, diversos grupos de hackers podem estar usando o mesmo ransomware. Os profissionais de cibersegurança podem não ser capazes de atribuir definitivamente ataques a grupos específicos, tornando mais difícil traçar o perfil e capturar operadores e afiliados de RaaS. 

Especialização dos cibercriminosos. Assim como a economia legítima, a economia do crime cibernético levou a uma divisão do trabalho. Os autores das ameaças agora podem se especializar e refinar suas habilidades. Os desenvolvedores podem se concentrar na criação de tipos de malware cada vez mais poderosos, e os afiliados podem se concentrar no desenvolvimento de métodos de ataque mais eficazes. Uma terceira classe de cibercriminosos, chamados de "corretores de acesso", é especializada em infiltração em redes e na venda de pontos de acesso para invasores. A especialização permite que hackers sejam mais rápidos e realizem mais ataques. De acordo com o X-Force Threat Intelligence Index, o tempo médio para executar um ataque de ransomware caiu de mais de 60 dias em 2019 para 3,85 dias em 2022. 

Ameaças de ransomware mais resilientes. O RaaS permite que operadores e afiliados compartilhem o risco, tornando ambos mais resilientes. A captura de afiliados não fecha os operadores e os afiliados podem mudar para outro kit de ransomware se um operador for pego. Sabe-se também que os hackers reorganizam e reformulam suas atividades para fugir das autoridades. Por exemplo, depois que o U. S. Foreign Assets Control (OFAC) sancionou a gangue de ransomware Evil Corp, as vítimas pararam de pagar resgates para evitar penalidades do OFAC. Em resposta, a Evil Corp mudou o nome de seu ransomware várias vezes (link fora de ibm.com) para manter o recebimento dos pagamentos. 

Pode ser difícil definir quais gangues são responsáveis por qual ransomware ou quais operadores estão oficialmente ativos em um determinado momento. Dito isso, os profissionais de cibersegurança identificaram alguns dos principais operadores de RaaS ao longo dos anos, incluindo:

• Tox: identificado pela primeira vez em 2015, Tox é considerado por muitos como o primeiro RaaS.

• LockBit: o LockBit é uma das variantes RaaS mais difundidas atualmente, representando 17% dos incidentes de ransomware observados em 2022, mais do que qualquer outra variante. O LockBit geralmente se espalha por meio de e-mails de phishing. Notavelmente, o bando por trás do LockBit tentou recrutar afiliados que trabalham para suas vítimas de destino, facilitando a infiltração. 

• DarkSide: a variante de ransomware da DarkSide foi usada no ataque de 2021 no Pipeline Colonial dos EUA, considerado o pior cyberattack na infraestrutura crítica dos EUA até o momento. DarkSide encerrou as atividades em 2021, mas seus desenvolvedores lançaram um kit RaaS sucessor chamado BlackMatter.

• REvil/Sodinokibi: o REvil, também conhecido como Sodin ou Sodinokibi, produziu o ransomware por trás dos ataques de 2021 contra a JBS USA e a Kaseya Limited. Em seu auge, o REvil foi uma das variantes de ransomware mais difundidas, sendo responsável por 37% dos ataques de ransomware em 2021. O Serviço Federal de Segurança da Rússia fechou o REvil e acusou vários membros importantes no início de 2022, mas a infraestrutura de RaaS da gangue ressurgiu novamente em abril de 2022 (link fora do ibm.com)

• Ryuk: Antes de encerrar em 2021, Ryuk foi uma das maiores operações de RaaS. Os desenvolvedores por trás do Ryuk lançaram o Conti, outra variante importante do RaaS, utilizada em um ataque contra o governo da Costa Rica em 2022 (link fora do ibm.com).

• Hive: o Hive ganhou destaque em 2022 após um ataque ao Microsoft Exchange Server. As afiliadas da Hive eram uma ameaça significativa para empresas financeiras e organizações de saúde até que o FBI derrubou a operadora em 2023 (link fora do ibm.com). 

Embora o RaaS tenha mudado o cenário de ameaças, muitas das práticas padrão de proteção contra ransomware ainda podem ser eficazes para combater ataques de RaaS. Muitas afiliadas do RaaS são menos tecnicamente adeptas do que os invasores de ransomware do passado. Aplicar obstáculos suficientes entre hackers e ativos de rede pode impedir completamente alguns ataques de RaaS. Táticas de cibersegurança adicionais podem incluir: 

• Manter cópias de segurança de dados e imagens de sistema sensíveis, preferencialmente em discos rígidos ou outros dispositivos que possam ser desconectados da rede.
  
  
• Reduzir a superfície de ataques da rede, aplicando correções regularmente para fechar vulnerabilidades normalmente exploradas. Ferramentas de segurança como software antivírus, organização de segurança, automação e resposta (SOAR), detecção e resposta de endpoints (EDR), informações de segurança e gerenciamento de eventos (SIEM) e detecção e resposta estendidas (XDR) também podem ajudar as equipes de segurança a interceptar o ransomware mais rápido.
  
  
• O treinamento de cibersegurança pode ajudar os funcionários a reconhecer e evitar vetores comuns de ransomware, como phishing, engenharia social e links maliciosos.
  
  
• A implementação de controles de acesso, como autenticação multifatorial, arquitetura de confiança zero e segmentação de rede, pode impedir que o ransomware alcance dados particularmente confidenciais.
  
  
• Planos abrangentes de resposta a incidentes  podem ajudar as equipes de segurança a lidar com a maioria das ameaças cibernéticas, mas podem ser particularmente úteis para ataques RaaS. Como a atribuição de ataques pode ser difusa, as equipes de resposta a incidentes não podem contar com ataques de ransomware utilizando sempre as mesmas táticas, técnicas e procedimentos (TTPs). Além disso, quando os respondentes de incidentes expulsam os afiliados do RaaS, os corretores de acesso ainda podem estar ativos em suas redes. A caça proativa a ameaças e as investigações completas de incidentes podem ajudar as equipes de segurança a erradicar essas ameaças evasivas.