Ransomware-as-a-service (RaaS) é um modelo de negócios do cibercrime no qual um grupo ou uma gangue de ransomware vende seus códigos de ransomware para outros hackers, que então os utilizam para realizar seus próprios ataques de ransomware.
De acordo com o X-Force Threat Intelligence Index da IBM, o ransomware foi o segundo tipo mais comum de ataque cibernético em 2022. Muitos especialistas acreditam que a ascensão do RaaS foi protagonista na manutenção do ransomware tão prevalente. Um relatório de 2022 do Zscaler (link reside fora do ibm.com) descobriu que oito das onze variantes de ransomware mais ativas eram variantes de RaaS.
É fácil entender por que o modelo RaaS é tão popular entre cibercriminosos. O RaaS reduz o nível de entrada no crime cibernético, permitindo que até mesmo agentes de ameaças com habilidades técnicas limitadas realizem ciberataques. Além disso, o RaaS é mutuamente benéfico: os hackers podem lucrar com a extorsão sem desenvolver seu próprio malware, e os desenvolvedores de ransomware podem aumentar seus lucros sem atacar manualmente as redes.
O RaaS funciona da mesma forma que os modelos de negócios legítimos de software como serviço (SaaS). Os desenvolvedores de ransomware, também chamados de operadores de RaaS, assumem o trabalho de desenvolvimento e manutenção de ferramentas e infraestrutura de ransomware. Eles empacotam suas ferramentas e serviços em kits RaaS que vendem para outros hackers, chamados afiliados RaaS .
A maioria dos operadores usa um dos seguintes modelos de receita para vender seus kits:
Os kits RaaS são anunciados em fóruns da dark web e alguns operadores de ransomware recrutam ativamente novos afiliados. O grupo REvil, por exemplo, gastou USD 1 milhão como parte de uma grande campanha de recrutamento em outubro de 2020 (link fora de ibm.com).
Depois de adquirirem um kit, os afiliados recebem mais do que apenas malware e chaves de descriptografia. Normalmente recebem um nível de serviço e suporte equivalente aos fornecedores de SaaS legais. Alguns dos operadores de RaaS mais sofisticados podem oferecer comodidades como suporte técnico contínuo, acesso a fóruns privados onde os hackers podem trocar dicas e informações, portais de processamento de pagamentos (já que a maioria dos pagamentos de resgate são solicitados em criptomoedas não rastreáveis como Bitcoin) e até mesmo ferramentas e suporte para escrever notas de resgate personalizadas ou negociar pedidos de resgate.
Atribuição difusa de incidentes de ransomware. Sob o modelo RaaS, as pessoas que realizam ataques cibernéticos podem não ser as mesmas pessoas que desenvolveram o malware em uso. Além disso, diversos grupos de hackers podem estar usando o mesmo ransomware. Os profissionais de cibersegurança podem não ser capazes de atribuir definitivamente ataques a grupos específicos, tornando mais difícil traçar o perfil e capturar operadores e afiliados de RaaS.
Especialização dos cibercriminosos. Assim como a economia legítima, a economia do crime cibernético levou a uma divisão do trabalho. Os autores das ameaças agora podem se especializar e refinar suas habilidades. Os desenvolvedores podem se concentrar na criação de tipos de malware cada vez mais poderosos, e os afiliados podem se concentrar no desenvolvimento de métodos de ataque mais eficazes. Uma terceira classe de cibercriminosos, chamados de "corretores de acesso", é especializada em infiltração em redes e na venda de pontos de acesso para invasores. A especialização permite que hackers sejam mais rápidos e realizem mais ataques. De acordo com o X-Force Threat Intelligence Index, o tempo médio para executar um ataque de ransomware caiu de mais de 60 dias em 2019 para 3,85 dias em 2022.
Ameaças de ransomware mais resilientes. O RaaS permite que operadores e afiliados compartilhem o risco, tornando ambos mais resilientes. A captura de afiliados não fecha os operadores e os afiliados podem mudar para outro kit de ransomware se um operador for pego. Sabe-se também que os hackers reorganizam e reformulam suas atividades para fugir das autoridades. Por exemplo, depois que o U. S. Foreign Assets Control (OFAC) sancionou a gangue de ransomware Evil Corp, as vítimas pararam de pagar resgates para evitar penalidades do OFAC. Em resposta, a Evil Corp mudou o nome de seu ransomware várias vezes (link fora de ibm.com) para manter o recebimento dos pagamentos.
Pode ser difícil definir quais gangues são responsáveis por qual ransomware ou quais operadores estão oficialmente ativos em um determinado momento. Dito isso, os profissionais de cibersegurança identificaram alguns dos principais operadores de RaaS ao longo dos anos, incluindo:
Embora o RaaS tenha mudado o cenário de ameaças, muitas das práticas padrão de proteção contra ransomware ainda podem ser eficazes para combater ataques de RaaS. Muitas afiliadas do RaaS são menos tecnicamente adeptas do que os invasores de ransomware do passado. Aplicar obstáculos suficientes entre hackers e ativos de rede pode impedir completamente alguns ataques de RaaS. Táticas de cibersegurança adicionais podem incluir:
Capture ameaças avançadas que outros simplesmente não percebem. O QRadar SIEM utiliza analítica e IA para monitorar informações sobre ameaças, anomalias de comportamento da rede e do usuário e priorizar onde a atenção imediata e a correção são necessárias.
Proteja endpoints de ataques cibernéticos, detecte comportamentos anômalos e corrija em tempo real com esta solução sofisticada, porém fácil de usar, de detecção e resposta de endpoints (EDR).
Impeça que o ransomware interrompa a continuidade dos negócios e recupere rapidamente quando houver ataques, com uma abordagem de confiança zero que o ajude a detectar e responder mais rápido ao ransomware e a minimizar o impacto dos ataques de ransomware.
Encontre insights práticos que o ajudem a entender como os agentes de ameaças estão realizando ataques e como proteger sua organização de forma proativa.
Aprenda as etapas críticas para proteger sua empresa antes que um ataque de ransomware possa penetrar em suas defesas e para conseguir a recuperação ideal se os adversários violarem o perímetro.
Agora em seu 17.º ano, o relatório informa sobre as percepções mais recentes do cenário de ameaças em constante expansão e oferece recomendações para economizar tempo e limitar perdas.
Trabalhe com arquitetos e consultores de segurança sênior da IBM para priorizar suas iniciativas de cibersegurança em uma sessão de design thinking presencial, virtual ou sem custo, com três horas de duração.
Los Angeles faz parceria com a IBM Security para criar o primeiro grupo de compartilhamento de ameaças cibernéticas do gênero para se proteger contra o crime cibernético.
As informações de segurança e o gerenciamento de eventos (SIEM) oferecem monitoramento e análise em tempo real de eventos, bem como o acompanhamento e o registro de dados de segurança para fins de conformidade ou auditoria.