En specifik distributionsmodell för en viss typ av skadlig programvara, utpressningsprogram som en tjänst (Raas) är ett avsevärt hot mot cybersäkerheten. Detta svindleri ger fler möjliga cyberbrottslingar möjligheten att sjösätta attacker utan den nödvändiga tekniska och programmeringsexpertisen, vilket gör attacker med utpressningsprogram mer allmänt förekommande.
Med tanke på hur skadliga utpressningsprogram kan vara är det särskilt viktigt för företag att förstå implikationerna av utpressningsprogram som en tjänst för cybersäkerheten och hur man skyddar system mot utpressningsprogram.
Att förstå utpressningsprogram som en tjänst
Utpressningsprogram som en tjänst (RaaS) är en affärsmodell som specialiserar sig på en särskild typ av skadlig programvara— utpressningsprogram — och den håller till på darknet. Enkelt förklarat är det en illvillig utveckling av den mer traditionella och lagliga modellen Programvara som en tjänst (SaaS), som används av många stora företag inklusive Microsoft, Adobe, Shopify, Zoom och Dropbox. Affärsmodellen för RaaS har operatörer som skapar utpressningsprogram (och har ofta ett helt ekosystem runt sig) och erbjuder dessa till tredje parter. Cyberbrottslingar kan "prenumerera" på utpressningsprogram som en tjänst (RaaS) helt gratis. När de blir partner i programmet betalar de för tjänsten efter att attacken sker i form av en procentandel av lösenbeloppet.
Cyberangripare som vill genomföra attacker med utpressningsprogram men som saknar tid och förmåga att utveckla sin egen skadliga programvara kan enkelt välja en RaaS-lösning på darknet. De får tillgång till utpressningsprogrammet och alla nödvändiga komponenter, såsom kommando-och-kontrollpaneler (C2), byggare (program som snabbat skapar unika prover av skadlig programvara), uppgraderingar av programvara och gränssnitt, support, anvisningar och hosting. De kan sjösätta sina attacker utan att behöva göra allt utvecklingsarbete. Illvilliga aktörer kan därmed genomföra en sofistikerad kedja av attacker med utpressningsprogram utan att ha någon typ av kunskaper eller erfarenhet av att utveckla dessa typer av skadlig programvara.
Ofta utvecklar operatörerna som erbjuder utpressningsprogram som en tjänst ett helt produktpaket runt sin skadliga programvara. Detta kan inkludera ett stort utbud av tjänster, såsom communityforum, spelböcker för strategiska attacker och kundsupport. Detta är särskilt användbart för presumtiva angripare utan erfarenhet av att genomföra cyberattacker. Utpressningsprogram som en tjänst kan innehålla:
- Anpassade verktyg för att skapa riktade attacker
- Extra verktyg som program för dataexfiltrering
- Communityforum för råd och diskussion
- Instruktionsbok för strategiska attacker
- Anvisningar för hur man konfigurerar panel och produkt
- Manualer om attacker som kan inkludera en beskrivning av verktyg, taktik och tekniker för angripare.
Oavsett vilken typ av utpressningsprogram som en tjänst angriparen väljer att använda är slutmålet alltid detsamma: att kompromettera en individs, eller företags, nätverk och stjäla eller avkryptera data och sedan få offret att betala en lösensumma.
Skillnaden mellan skadlig programvara, utpressningsprogram och utpressningsprogram som en tjänst
Skadlig programvara är en allmängiltig term för alla typer av skadliga program som används för att få ej auktoriserad åtkomst till ett IT-system eller en elektronisk enhet. Detta kan göras med otaliga syften, inklusive datastöld och systemavbrott. Men utpressningsprogram är skadlig programvara som används för att infektera offrets system och avkryptera eller förstöra dess data – offret kan krävas på en lösensumma, därav namnet, för att hindra angriparen från att publicera informationen offentligt eller få en krypteringsnyckel för att återställa data om den har krypterats
Vilka är de juridiska implikationerna med utpressningsprogram som en tjänst (Raas)?
Eftersom RaaS möjliggör en viss typ av cyberbrott och att det drivs från darknet borde det vara helt uppenbart att hela affärsmodellen är olaglig. All typ av inblandning i branschen, oavsett om det är en operatör eller en klient ("prenumerant"), är olaglig. Detta inkluderar att göra utpressningsprogram som en tjänst tillgängligt för köp, att köpa RaaS med avsikt att genomföra attacker med utpressningsprogram, göra intrång i nätverk, kryptera data eller utpressa för pengar.
Hur fungerar utpressningsprogram som en tjänst?
RaaS fungerar som en organisatorisk hierarki. Överst på stegen finns operatören, vanligtvis en grupp som utvecklar utpressningsprogrammet och gör det tillgängligt att köpa. Operatören fungerar som en administratör som har överblick över alla aspekter av verksamheten, inklusive att hantera infrastrukturen och användargränssnittet. Ofta har operatören även hand om lösenutbetalningar och tillhandahåller krypteringsnycklar till de offer som betalar. Inom operatörsgruppen kan det finnas mindre roller, inklusive administratörer, utvecklare och testteam.
Klienterna köper tillgång till RaaS för att använda operatörens utpressningsprogram i attacker. De identifierar attacktillfällena och sjösätter dem. Klientens roll är att identifiera offren, exekvera utpressningsprogrammet, ange lösen, hantera kommunikationen efter attacken och skicka krypteringsnycklar när lösen har betalats.
I Kasperskys senaste fynd för Anti-Ransomware Day 2023 avslöjades de initiala vektorerna för attacker med utpressningsprogram under 2022. Rapporten avslöjade att över 40 % av företagen utsattes för minst en attack med utpressningsprogram senaste året, där små och medelstora företag betalade i genomsnitt 6 500 USD för återställningen och storföretag fick punga ut med 98 000 USD. Studien pekade ut de primära ingångspunkterna för attackerna, inklusive exploatering av applikationer för allmänheten (43 %), komprometterade användarkonton (24 %) och skadlig e-post (12 %).
När utpressningsprogrammet har laddats ner i systemet försöker det inaktivera säkerhetsprogram i slutpunkten. Efter att angriparen skaffat sig åtkomst kan denne installera verktyg och skadlig programvara. Detta gör det möjligt för dem att röra sig runt i nätverket och sedan lägga ut utpressningsprogrammet. Angriparen kan skicka ut en begäran om lösen efter att filerna har krypterats. Generellt sett görs detta genom en TXT-fil som dyker upp på offrets dator som talar om att systemet har knäckts och att denne måste betala en lösen för att få en krypteringsnyckel som ger kontrollen tillbaka.
Hur betalar sig utpressningsprogram som en tjänst?
Cyberbrottslingar kan "prenumerera" på utpressningsprogram som en tjänst (RaaS) helt gratis. När de blir partner i programmet betalar de för tjänsten efter att attacken genomförts. Betalningsbeloppet fastställs till en procentandel av lösensumman som betalas av offret, vanligen mellan 10 och 40 procent av varje transaktion. Men det är inte enkelt att ta sig in i programmet eftersom du måste uppfylla rigorösa krav.
Exempel på utpressningsprogram som en tjänst som är bra att känna till
Cyberbrottslingar har blivit bra på att utveckla sina utpressningsprogramtjänster så att de alltid kan uppfylla kraven från "klienterna" som köper RaaS. Det finns ett stort utbud av program för utpressningsprogram som en tjänst (RaaS) som är tillgängliga på darknet och det kan vara bra att få en överblick för att förstå hur och varför de utgör hot. Här är några exempel på utpressningsoprogram som en tjänst som har fått stor spridning de senaste åren.
- LockBit: detta utpressningsprogram har gjort intrång i nätverk hos många företag genom att exploatera Server Message Blocks (SMB) och Microsoft PowerShells automatiserings- och konfigurationshanteringsprogram.
- BlackCat: genom att använda Rust-programmering är detta utpressningsprogram lätt att anpassa och kan därmed distribueras mot flera systemarkitekturer.
- Hive: ett särskilt lömskt RaaS. Hive placerar sina offer under avsevärt tryck och tvingar dem att betala lösen genom att släppa information om systemintrånget till allmänheten och räknar ofta ner tills den stulna informationen kommer att läckas.
- Dharma: e-post är det vanligaste metoden för nätfiskeattacker och denna RaaS, som har ansvar för hundratals attacker, härmar dessa genom att rikta in sig på offren genom e-postbilagor.
- DarkSide: den skadliga programvaran från den här gruppen av utpressningsprogram tros ligga bakom intrånget i Colonial Pipeline 2021.
- REvil: kanske den mest genomträngande RaaS-gruppen, det här utpressningsprogrammet var ansvarigt för attackerna 2021 mot Kaseya, som påverkade 1 500 företag och CAN Financial.
10 Tips för att skydda enheter mot utpressningsprogram
Utpressningsprogram är bara ett av alla hot som man konstant måste se upp för när man är online, och det är ett som kan vara utmanande, och dyrt, att återhämta sig ifrån. Det är omöjligt att neutralisera dessa hot helt och hållet, men det finns flera åtgärder och bästa praxis som kan förbättra cybersäkerheten mot RaaS och, faktiskt, mildra många digitala attacker. Här är 10 tips om hur man skyddar elektroniska enheter mot utpressningsprogram:
- Säkerhetskopiera data regelbundet på en separat enhet, skapa flera kopior vid behov. Företag bör även ha en dataåterställningsplan om en attack skulle ske.
- Använd robusta skyddsprogram för slutpunkter som regelbundet skannar och avlägsnar potentiella hot.
- Se till att all programvara förblir uppdaterad och har de senaste säkerhetsuppdateringarna.
- Aktivera flerfaktors- eller biometrisk autentisering där det är möjligt.
- Kom ihåg lösenordshygien — Använd en pålitlig lösenordshanterare till att generera och lagra starka lösenord och skapa olika inloggningar för olika konton.
- Implementera stark skanningsprogramvara för e-post som kan fånga in skadlig e-post och potentiella nätfiskeangrepp.
- Ta fram och upprätthåll en robust cybersäkerhetspolicy: var uppmärksam på den yttre perimetern och skapa en omfattande cybersäkerhetspolicy som gäller för hela företaget. Denna policy ska innehålla säkerhetsprotokoll för fjärråtkomst, tredjepartsleverantörer och anställda.
- Eftersom stulna inloggningsuppgifter kan läggas ut till försäljning på darknet kan du använda Kaspersky Digital Footprint Intelligence för att övervaka ljusskygga resurser och identifiera relaterade hot i tid
- Använd principen för minsta privilegium för att minimera administrativ eller systemåtkomst till så få personer som möjligt.
- Implementera utbildning i säkerhetsmedvetenhet som täcker in RaaS-cybersäkerhet och andra potentiella hot.
- Undvik att klicka på e-postlänkar om inte källan är känd och betrodd. Om du är tveksam, skriv in webbplatsen i webbläsarens sökfält och navigera till sidan manuellt.
Inte ens de mest omfattande skyddsåtgärderna kan alltid skydda mot en attack med utpressningsprogram. När det värsta händer finns alltid några alternativ för att mildra resultatet av dessa attacker.
Det kvardröjande hotet från utpressningsprogram som en tjänst
Utpressningsprogram är ett cybersäkerhetsbekymmer i sig själva. Men affärsmodellen utpressningsprogram som en tjänst har gjort just den här skadliga programvaran till ett mycket större hot genom att ge fler potentiella cyberbrottslingar möjligheten att använda dessa attacker utan någon särskild expertis eller kunskap. Eftersom dessa attacker kan ha så allvarliga finansiella efterverkningar för företagen, eller individerna, som drabbas är det viktigt att förstå de olika metoderna för att skydda system mot attacker med utpressningsprogram. Många av dessa är grundläggande bästa praxis för cybersäkerhet, men företag bör överväga ytterligare insatser såsom säkerhetsutbildning och regelbunden säkerhetskopiering på disparata system.
Få Kaspersky Premium + 1 ÅR GRATIS med Kaspersky Safe Kids. Kaspersky Premium tilldelades fem AV-TEST-utmärkelser för bästa skydd, bästa prestanda, snabbaste VPN, godkänd föräldrakontroll för Windows och bästa betyg för föräldrakontroll på Android.
Relaterade artiklar och länkar:
De största attackerna med utpressningsprogram
Detektering och förhindrande av skadlig programvara
Relaterade produkter och tjänster: