RaaS bekerja dengan cara yang sama seperti model bisnis perangkat lunak sebagai layanan (SaaS ) yang sah. Pengembang ransomware, juga disebut operator RaaS, mengambil pekerjaan mengembangkan dan memelihara alat dan infrastruktur ransomware. Mereka mengemas alat dan layanan mereka ke dalam kit RaaS yang mereka jual ke peretas lain, yang disebut afiliasi RaaS. 

Sebagian besar operator menggunakan salah satu model pendapatan berikut untuk menjual kit mereka:

• Langganan bulanan: Afiliasi RaaS membayar biaya berulang - terkadang hanya USD 40 per bulan - untuk akses ke alat ransomware.
  
  
• Biaya satu kali: Afiliasi membayar biaya satu kali untuk membeli kode ransomware secara langsung.
  
  
• Model afiliasi: Afiliasi membayar biaya bulanan dan berbagi persentase kecil dari pembayaran tebusan yang mereka terima dengan operator.
  
  
• Bagi hasil: Operator tidak memungut biaya apa pun di muka, tetapi mengambil bagian yang signifikan dari setiap tebusan yang diterima afiliasi, biasanya 30-40%. 

Perangkat RaaS diiklankan di forum dark web, dan beberapa operator ransomware secara aktif merekrut afiliasi baru. Grup REvil, misalnya, menghabiskan USD 1 juta sebagai bagian dari upaya perekrutan besar-besaran pada bulan Oktober 2020 (tautan berada di luar ibm.com).

Setelah mereka membeli kit, afiliasi mendapatkan lebih dari sekadar malware dan kunci dekripsi - mereka sering kali menerima tingkat layanan dan dukungan yang setara dengan vendor SaaS yang sah. Beberapa operator RaaS yang paling canggih mungkin menawarkan fasilitas seperti dukungan teknis yang berkelanjutan, akses ke forum pribadi di mana para peretas dapat bertukar kiat dan informasi, portal pemrosesan pembayaran (karena sebagian besar pembayaran tebusan diminta dalam mata uang kripto yang tidak dapat dilacak seperti Bitcoin), dan bahkan alat dan dukungan untuk menulis catatan tebusan khusus atau menegosiasikan permintaan tebusan.

Meskipun potensi keuntungan merupakan faktor utama dalam perkembangan RaaS, program afiliasi juga memberikan keuntungan tambahan bagi para peretas dan pengembang ransomware - dan program ini memberikan tantangan tambahan bagi para profesional keamanan siber. 

Atribusi berulang dari insiden ransomware. Di bawah model RaaS, orang-orang yang melakukan serangan siber mungkin bukan orang yang sama yang mengembangkan malware yang digunakan. Selain itu, kelompok peretasan yang berbeda mungkin menggunakan ransomware yang sama. Para profesional keamanan siber mungkin tidak dapat mengaitkan serangan secara definitif dengan kelompok tertentu, sehingga lebih sulit untuk membuat profil dan menangkap operator dan afiliasi RaaS. 

Spesialisasi penjahat siber. Sama seperti ekonomi yang sah, ekonomi kejahatan siber telah mengarah pada pembagian kerja. Aktor ancaman sekarang dapat mengkhususkan diri dan memperbaiki kerajinan mereka. Pengembang dapat berfokus pada pembuatan malware yang semakin kuat, dan afiliasinya dapat berfokus pada pengembangan metode serangan yang lebih efektif. Kelas ketiga dari penjahat siber, yang disebut "pialang akses", mengkhususkan diri dalam menyusup ke jaringan dan menjual titik akses ke penyerang. Spesialisasi memungkinkan peretas bergerak lebih cepat dan melakukan lebih banyak serangan. Menurut Indeks X-Force Threat Intelligence, waktu rata-rata untuk melakukan serangan ransomware turun dari 60+ hari pada 2019 menjadi 3,85 hari pada 2022. 

Ancaman ransomware yang lebih tangguh. RaaS memungkinkan operator dan afiliasi untuk berbagi risiko, membuat masing-masing lebih tangguh. Menangkap afiliasi tidak menutup operator, dan afiliasi dapat beralih ke perangkat ransomware lain jika operator tertangkap. Para peretas juga diketahui mengatur ulang dan mengubah nama aktivitas mereka untuk menghindari pihak berwenang. Sebagai contoh, setelah Kantor Pengawasan Aset Luar Negeri (OFAC) AS memberikan sanksi kepada geng ransomware Evil Corp, para korban berhenti membayar uang tebusan untuk menghindari hukuman dari OFAC. Sebagai tanggapan, Evil Corp mengubah nama ransomware-nya beberapa kali (tautan berada di luar ibm.com) untuk menjaga agar pembayaran tetap berjalan. 

Mungkin sulit untuk menentukan geng mana yang bertanggung jawab atas ransomware mana atau operator mana yang secara resmi aktif pada waktu tertentu. Meskipun demikian, para profesional keamanan siber telah mengidentifikasi beberapa operator RaaS utama selama bertahun-tahun, termasuk:

• Tox: Pertama kali diidentifikasi pada tahun 2015, Tox dianggap oleh banyak orang sebagai RaaS pertama.

• LockBit: LockBit adalah salah satu varian RaaS yang paling luas saat ini, menyumbang 17% dari insiden ransomware yang diamati pada tahun 2022, lebih banyak daripada jenis lainnya. LockBit sering menyebar melalui email phishing. Khususnya, geng di belakang LockBit telah mencoba merekrut afiliasi yang bekerja untuk target korban mereka, membuat infiltrasi lebih mudah. 

• DarkSide: Varian ransomware DarkSide digunakan dalam serangan tahun 2021 terhadap U.S. Colonial Pipeline, yang dianggap sebagai serangan siber terburuk terhadap infrastruktur penting AS hingga saat ini. DarkSide ditutup pada tahun 2021, tetapi pengembangnya merilis kit RaaS penerus yang disebut BlackMatter.

• REvil/Sodinokibi: REvil, juga dikenal sebagai Sodin atau Sodinokibi, memproduksi ransomware di balik serangan tahun 2021 terhadap JBS USA dan Kaseya Limited. Pada puncaknya, REvil adalah salah satu varian ransomware yang paling luas, terhitung 37% dari serangan ransomware pada tahun 2021. Dinas Keamanan Federal Rusia menutup REvil dan mendakwa beberapa anggota kunci pada awal 2022, tetapi infrastruktur RaaS geng ini muncul kembali pada April 2022 (tautan berada di luar ibm.com)

• Ryuk: Sebelum ditutup pada tahun 2021, Ryuk adalah salah satu operasi RaaS terbesar. Pengembang di belakang Ryuk kemudian merilis Conti, varian RaaS utama lainnya, yang digunakan dalam serangan terhadap pemerintah Kosta Rika pada tahun 2022 (tautan berada di luar ibm.com).

• Hive: Hive menjadi terkenal pada tahun 2022 setelah serangan terhadap Microsoft Exchange Server. Afiliasi Hive merupakan ancaman yang signifikan bagi perusahaan keuangan dan organisasi perawatan kesehatan hingga FBI menutup operator ini pada tahun 2023 (tautan berada di luar ibm.com). 

Meskipun RaaS telah mengubah lanskap ancaman, banyak praktik standar untuk proteksi ransomware yang masih efektif untuk memerangi serangan RaaS. Banyak afiliasi RaaS yang kurang mahir secara teknis dibandingkan dengan penyerang ransomware kemarin. Menempatkan penghalang yang cukup antara peretas dan aset jaringan dapat menghalangi beberapa serangan RaaS sepenuhnya. Taktik keamanan siber tambahan mungkin mencakup: 

• Mempertahankan cadangan data sensitif dan gambar sistem, idealnya pada hard drive atau perangkat lain yang dapat terputus dari jaringan.
  
  
• Mengurangi permukaan seranganjaringan dengan menerapkan patch secara teratur untuk menutup kerentanan yang biasa dieksploitasi. Alat-alat keamanan seperti perangkat lunak antivirus, orkestrasi keamanan, otomatisasi dan respons (SOAR), deteksi dan respons titik akhir (EDR), informasi keamanan dan manajemen peristiwa (SIEM), dan deteksi dan respons yang diperluas (XDR ) juga bisa membantu tim keamanan mencegat ransomware dengan lebih cepat.
  
  
• Pelatihan keamanan siber dapat membantu karyawan mengenali dan menghindari vektor ransomware yang umum seperti phishing, rekayasa sosial, dan tautan berbahaya.
  
  
• Menerapkan kontrol akses seperti otentikasi multi-faktor, arsitektur tanpa kepercayaan, dan segmentasi jaringan dapat mencegah ransomware menjangkau data yang sangat sensitif.
  
  
• Rencana tanggap insiden  yang komprehensif dapat membantu tim keamanan mengatasi sebagian besar ancaman siber, tetapi rencana tersebut dapat sangat membantu untuk serangan RaaS. Karena atribusi serangan bisa tidak jelas, tim tanggap insiden tidak dapat mengandalkan serangan ransomware yang selalu menggunakan taktik, teknik, dan prosedur yang sama (TTP). Selain itu, ketika penanggap insiden mengeluarkan afiliasi RaaS, broker akses mungkin masih aktif di jaringan mereka. Perburuan ancaman proaktif dan investigasi insiden menyeluruh dapat membantu tim keamanan memberantas ancaman yang mengelak ini.