Ransomware-as-a-service (RaaS) adalah sebuah model bisnis kejahatan siber di mana sebuah kelompok atau geng ransomware menjual kode ransomware mereka kepada peretas lain, yang kemudian menggunakannya untuk melakukan serangan ransomware mereka sendiri.
Menurut Indeks X-Force Threat Intelligence IBM, ransomware adalah jenis serangan siber kedua yang paling umum terjadi pada tahun 2022. Banyak ahli percaya bahwa kemunculan RaaS telah memainkan peran dalam menjaga ransomware tetap lazim. Laporan tahun 2022 dari Zscaler (tautan berada di luar ibm.com) menemukan bahwa 8 dari 11 varian ransomware yang paling aktif adalah varian RaaS.
Sangat mudah untuk memahami mengapa model RaaS sangat populer di kalangan penjahat siber. RaaS menurunkan standar untuk masuk ke dalam kejahatan siber, bahkan memungkinkan para pelaku ancaman yang memiliki keterampilan teknis yang terbatas untuk melakukan serangan siber. Selain itu, RaaS saling menguntungkan: Peretas bisa mendapatkan keuntungan dari pemerasan tanpa mengembangkan malware mereka sendiri, dan pengembang ransomware bisa meningkatkan keuntungan mereka tanpa menyerang jaringan secara manual.
RaaS bekerja dengan cara yang sama seperti model bisnis perangkat lunak sebagai layanan (SaaS ) yang sah. Pengembang ransomware, juga disebut operator RaaS, mengambil pekerjaan mengembangkan dan memelihara alat dan infrastruktur ransomware. Mereka mengemas alat dan layanan mereka ke dalam kit RaaS yang mereka jual ke peretas lain, yang disebut afiliasi RaaS.
Sebagian besar operator menggunakan salah satu model pendapatan berikut untuk menjual kit mereka:
Perangkat RaaS diiklankan di forum dark web, dan beberapa operator ransomware secara aktif merekrut afiliasi baru. Grup REvil, misalnya, menghabiskan USD 1 juta sebagai bagian dari upaya perekrutan besar-besaran pada bulan Oktober 2020 (tautan berada di luar ibm.com).
Setelah mereka membeli kit, afiliasi mendapatkan lebih dari sekadar malware dan kunci dekripsi - mereka sering kali menerima tingkat layanan dan dukungan yang setara dengan vendor SaaS yang sah. Beberapa operator RaaS yang paling canggih mungkin menawarkan fasilitas seperti dukungan teknis yang berkelanjutan, akses ke forum pribadi di mana para peretas dapat bertukar kiat dan informasi, portal pemrosesan pembayaran (karena sebagian besar pembayaran tebusan diminta dalam mata uang kripto yang tidak dapat dilacak seperti Bitcoin), dan bahkan alat dan dukungan untuk menulis catatan tebusan khusus atau menegosiasikan permintaan tebusan.
Meskipun potensi keuntungan merupakan faktor utama dalam perkembangan RaaS, program afiliasi juga memberikan keuntungan tambahan bagi para peretas dan pengembang ransomware - dan program ini memberikan tantangan tambahan bagi para profesional keamanan siber.
Atribusi berulang dari insiden ransomware. Di bawah model RaaS, orang-orang yang melakukan serangan siber mungkin bukan orang yang sama yang mengembangkan malware yang digunakan. Selain itu, kelompok peretasan yang berbeda mungkin menggunakan ransomware yang sama. Para profesional keamanan siber mungkin tidak dapat mengaitkan serangan secara definitif dengan kelompok tertentu, sehingga lebih sulit untuk membuat profil dan menangkap operator dan afiliasi RaaS.
Spesialisasi penjahat siber. Sama seperti ekonomi yang sah, ekonomi kejahatan siber telah mengarah pada pembagian kerja. Aktor ancaman sekarang dapat mengkhususkan diri dan memperbaiki kerajinan mereka. Pengembang dapat berfokus pada pembuatan malware yang semakin kuat, dan afiliasinya dapat berfokus pada pengembangan metode serangan yang lebih efektif. Kelas ketiga dari penjahat siber, yang disebut "pialang akses", mengkhususkan diri dalam menyusup ke jaringan dan menjual titik akses ke penyerang. Spesialisasi memungkinkan peretas bergerak lebih cepat dan melakukan lebih banyak serangan. Menurut Indeks X-Force Threat Intelligence, waktu rata-rata untuk melakukan serangan ransomware turun dari 60+ hari pada 2019 menjadi 3,85 hari pada 2022.
Ancaman ransomware yang lebih tangguh. RaaS memungkinkan operator dan afiliasi untuk berbagi risiko, membuat masing-masing lebih tangguh. Menangkap afiliasi tidak menutup operator, dan afiliasi dapat beralih ke perangkat ransomware lain jika operator tertangkap. Para peretas juga diketahui mengatur ulang dan mengubah nama aktivitas mereka untuk menghindari pihak berwenang. Sebagai contoh, setelah Kantor Pengawasan Aset Luar Negeri (OFAC) AS memberikan sanksi kepada geng ransomware Evil Corp, para korban berhenti membayar uang tebusan untuk menghindari hukuman dari OFAC. Sebagai tanggapan, Evil Corp mengubah nama ransomware-nya beberapa kali (tautan berada di luar ibm.com) untuk menjaga agar pembayaran tetap berjalan.
Mungkin sulit untuk menentukan geng mana yang bertanggung jawab atas ransomware mana atau operator mana yang secara resmi aktif pada waktu tertentu. Meskipun demikian, para profesional keamanan siber telah mengidentifikasi beberapa operator RaaS utama selama bertahun-tahun, termasuk:
Meskipun RaaS telah mengubah lanskap ancaman, banyak praktik standar untuk proteksi ransomware yang masih efektif untuk memerangi serangan RaaS. Banyak afiliasi RaaS yang kurang mahir secara teknis dibandingkan dengan penyerang ransomware kemarin. Menempatkan penghalang yang cukup antara peretas dan aset jaringan dapat menghalangi beberapa serangan RaaS sepenuhnya. Taktik keamanan siber tambahan mungkin mencakup:
Tangkap ancaman tingkat lanjut yang terlewatkan oleh orang lain. QRadar SIEM memanfaatkan analitik dan AI untuk memantau intelijen ancaman, anomali jaringan dan perilaku pengguna, serta memprioritaskan mana yang memerlukan perhatian dan perbaikan segera.
Amankan titik akhir dari serangan siber, deteksi perilaku anomali, dan lakukan remediasi hampir secara real time dengan solusi deteksi dan respons titik akhir (EDR) yang canggih dan mudah digunakan.
Hentikan ransomware agar tidak mengganggu kelangsungan bisnis, dan pulihkan dengan cepat saat serangan terjadi-dengan pendekatan zero trust yang membantu Anda mendeteksi dan merespons ransomware dengan lebih cepat dan meminimalkan dampak serangan ransomware.
Temukan wawasan yang dapat ditindaklanjuti yang membantu Anda memahami bagaimana pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.
Pelajari langkah-langkah penting untuk melindungi bisnis Anda sebelum serangan ransomware dapat menembus pertahanan Anda, dan untuk mencapai pemulihan yang optimal jika musuh menembus perimeter.
Sekarang di tahun ke-17, laporan ini berbagi wawasan terbaru tentang lanskap ancaman yang semakin meluas, dan menawarkan rekomendasi untuk menghemat waktu dan membatasi kerugian.
Bekerja sama dengan arsitek dan konsultan keamanan senior IBM untuk memprioritaskan inisiatif keamanan siber Anda dalam sesi pemikiran desain selama 3 jam, baik secara virtual maupun tatap muka, yang bebas biaya.
Los Angeles bermitra dengan IBM Security untuk membuat grup berbagi ancaman siber pertama untuk melindungi dari kejahatan siber.
Informasi keamanan dan manajemen peristiwa (SIEM) menawarkan pemantauan dan analisis peristiwa secara real-time serta pelacakan dan pencatatan data keamanan untuk tujuan kepatuhan atau audit.