O que é ransomware como serviço?

Um modelo de distribuição específico para um tipo particular de malware, ransomware como serviço (RaaS), é uma ameaça significativa para a cibersegurança. Esse esquema do tipo afiliado dá a mais cibercriminosos a oportunidade de lançar ataques sem a experiência técnica e de programação necessária, tornando os ataques de ransomware mais comuns.

É crucial, especialmente para as empresas, entender as implicações do RaaS na cibersegurança e como proteger os sistemas do ransomware.

Compreendendo o ransomware como serviço

Ransomware como serviço (RaaS) é um modelo de negócios que se especializa em um tipo específico de malware, o ransomware, e opera na dark web.

Em termos simples, é uma evolução mal-intencionada do modelo mais tradicional e legal de software como serviço (SaaS), o qual é usado por muitas grandes empresas, como Microsoft, Adobe, Shopify, Zoom e Dropbox.

O modelo de negócios RaaS baseia-se nos operadores criando o ransomware — e, frequentemente, um ecossistema inteiro em torno dele — e oferecendo-o a terceiros. Cibercriminosos podem "assinar" o RaaS de graça, e uma vez que se tornam parceiros no programa, eles pagam pelo serviço após o ataque acontecer na forma de uma porcentagem do resgate.

Atacantes cibernéticos que desejam executar ataques de ransomware, mas não têm tempo nem habilidade para desenvolver seu próprio malware, podem escolher uma solução RaaS na dark Web.

Eles podem acessar o ransomware e todos os componentes necessários, como painéis de comando e controle (C2), construtores (programas para criação rápida de amostras de malware exclusivas), malwares e atualizações de interface, suporte, instruções e hospedagem. Em seguida, podem lançar seu ataque sem precisar fazer todo o trabalho de desenvolvimento.

Dessa forma, infratores podem executar uma sofisticada cadeia de ataques de ransomware sem ter qualquer tipo de conhecimento ou experiência em desenvolver esse tipo de malware.

Geralmente, os operadores que oferecem ransomware como serviço desenvolvem toda uma oferta de produtos em torno de seu malware. Isso pode incluir uma ampla gama de serviços, como fóruns comunitários, manuais de ataques estratégicos e suporte ao cliente.

Isso é útil para potenciais atacantes sem experiência em realizar ciberataques.

Os serviços adicionais de RaaS podem incluir:

Ferramentas de personalização para criar ataques altamente direcionados;
Ferramentas adicionais, como programas para exfiltração de dados;
Fóruns comunitários para conselhos e discussão;
Livros técnicos para ataques estratégicos;
Instruções para configurar o painel e o produto.
Manuais sobre ataques que incluem uma descrição de ferramentas, táticas e técnicas para os atacantes.

Seja qual for o tipo de ransomware como serviço que o atacante escolher usar, o objetivo final é sempre o mesmo: comprometer a rede de um indivíduo ou organização, roubar ou descriptografar dados e, em seguida, fazer com que o alvo pague um resgate.

Qual a diferença entre malware, ransomware e ransomware como serviço?

Malware é um termo geral para qualquer tipo de software malicioso que é usado para obter acesso não autorizado a um sistema de TI ou dispositivo eletrônico. Pode envolver diversos propósitos, incluindo roubo de dados e interrupção de sistemas.

No entanto, o ransomware é um malware usado para infectar o sistema de um alvo e criptografar ou destruir seus dados; o alvo pode ser obrigado a pagar um resgate para impedir que o atacante divulgue as informações, ou para receber uma chave de descriptografia para restaurar os dados, se eles foram criptografados.

Quais são as implicações legais do ransomware como serviço (Raas)?

Dado que o RaaS permite um tipo específico de cibercrime e opera na dark Web, deve ficar claro que o modelo de negócios é ilegal. Qualquer tipo de envolvimento na indústria, seja como operador ou afiliado ("assinante"), é ilegal.

Isso inclui disponibilizar RaaS para venda, comprar um RaaS com a intenção de executar ataques de ransomware, violar redes, criptografar dados ou fazer extorsões.

Como funciona o ransomware como serviço?

RaaS opera em uma hierarquia organizacional.

No topo da escada está o operador, geralmente um grupo que desenvolve o ransomware e o disponibiliza para venda. O operador atua como um administrador, supervisionando todos os aspectos das operações comerciais do RaaS, incluindo a gestão da infraestrutura e da interface do usuário.

Muitas vezes, o operador também lida com os pagamentos do resgate e fornece a chave de descriptografia para as vítimas que pagam. Dentro do grupo de operadores, pode haver funções designadas menores, incluindo administradores, desenvolvedores e equipes de teste.

Afiliados do RaaS — os "clientes" — compram acesso ao RaaS para usar o ransomware do operador em ataques. Eles identificam as oportunidades de ataque e as implementam.

O papel do afiliado é identificar alvos, executar o ransomware, executar o resgate, gerenciar a comunicação pós-ataque e enviar as chaves de descriptografia quando o resgate for pago.

A Kaspersky descobriu os principais vetores iniciais de ataques em 2022 para o Anti-Ransomware Day 2023 (Dia contra ransomware 2023). O relatório revelou que mais de 40% das empresas sofreram pelo menos um ataque de ransomware no ano passado, com pequenas e médias empresas pagando em média US$ 6.500 para recuperação e grandes empresas desembolsando grandes montantes de US$ 98.000.

O estudo identificou os principais pontos de entrada de ataques, incluindo a exploração de aplicativos de acesso público (43%), contas de usuário comprometidas (24%) e e-mails maliciosos (12%).

Assim que o ransomware é baixado no sistema, ele tenta desativar o software de segurança de endpoint. Uma vez que o atacante tenha obtido acesso, ele pode reinstalar ferramentas e malware. Isso permitirá que ele se mova pela rede e depois inicie o ransomware.

O infrator pode então enviar um pedido de resgate após criptografar os arquivos. Em geral, isso é feito por meio de um arquivo TXT que aparece no computador da vítima, o qual alega que o sistema foi invadido e que a pessoa deve pagar um resgate para receber uma chave de descriptografia e retomar o controle.

Como o ransomware como serviço é monetizado?

Cibercriminosos podem "assinar" o RaaS de graça. Assim que se tornam parceiros no programa, eles pagam pelo serviço após o ataque acontecer.

O valor do pagamento é determinado por uma porcentagem do resgate pago pela vítima, geralmente variando de 10% a 40% de cada transação. No entanto, ingressar no programa não é uma tarefa simples, pois envolve atender a requisitos rigorosos.

Exemplos de ransomware como serviço para conhecer

Cibercriminosos se tornaram hábeis em evoluir seus serviços de ransomware para que possam sempre atender às demandas dos "clientes" que compram RaaS. Existe uma ampla gama de programas de ransomware como serviço (Raas) disponíveis na dark Web.

Ter uma visão geral deles pode ser útil para entender como e por que representam uma ameaça. Aqui estão alguns exemplos de ransomware como serviço que se tornaram bastante difundidos nos últimos anos:

LockBit

Este ransomware em particular invadiu as redes de muitas organizações explorando os Server Message Blocks (SMB) e o programa de automação e gerenciamento de configuração da Microsoft, o PowerShell.

BlackCat

Ao usar a programação Rust, este ransomware é fácil de personalizar e, portanto, pode ser implantado em inúmeras arquiteturas de sistema.

Hive

Como um RaaS especialmente maligno, o Hive coloca seus alvos sob pressão, forçando-os a pagar o resgate ao divulgar publicamente detalhes da violação do sistema e fazendo uma contagem regressiva para quando as informações roubadas serão vazadas.

Dharma

E-mails são o método mais comum para executar ataques de phishing; este RaaS, que tem sido responsável por centenas de ataques, imita essas invasões direcionando vítimas a anexos de e-mail.

DarkSide

Acredita-se que o malware deste grupo de ransomware tenha sido responsável pela violação do Colonial Pipeline em 2021.

REvil

Talvez o grupo RaaS mais disseminado, este ransomware foi responsável pelos ataques de 2021 à Kaseya, que afetaram cerca de 1.500 organizações, e à CAN Financial.

11 dicas para proteger dispositivos contra ransomware

Ransomware é apenas uma das inúmeras ameaças das quais as pessoas devem estar cientes enquanto estão online, e uma que pode ser desafiadora e cara de se recuperar.

Embora seja impossível neutralizar completamente essas ameaças, existem uma série de medidas e melhores práticas que podem aprimorar a cibersegurança contra RaaS e mitigar muitos ataques digitais.

Aqui estão 10 dicas para proteger dispositivos eletrônicos contra ransomware:

1. Faça regularmente backup dos dados em um dispositivo separado e crie múltiplos backups, se necessário; as organizações também devem ter um plano de recuperação em caso de ataque.

2. Utilize um software robusto de proteção de endpoint que verifica regularmente e remove possíveis ameaças.

3. Garanta que todo o software esteja atualizado e executando as atualizações de segurança mais recentes.

4. Ative a autenticação multifatorial ou biométrica sempre que possível.

5. Lembre-se da higiene de senhas — use um gerenciador de senhas confiável para gerar e armazenar senhas fortes; crie logins diferentes para contas diferentes.

6. Implemente um software de verificação de e-mail forte para detectar e-mails maliciosos e possíveis ataques de phishing.

7. Desenvolva e mantenha uma política forte de cibersegurança: preste atenção no perímetro externo e crie uma política abrangente de cibersegurança que cubra toda a organização. Esta política deve abordar os protocolos de segurança para acesso remoto, fornecedores terceirizados e funcionários.

8. Como as credenciais roubadas podem ser colocadas à venda na dark Web, use o Kaspersky Digital Footprint Intelligence para monitorar recursos ocultos e identificar ameaças relacionadas.

9. Utilize o princípio do menor privilégio para minimizar o acesso administrativo ou de sistema para o menor número possível de pessoas.

10. Implemente treinamento de conscientização em segurança que aborde a cibersegurança de RaaS e outras ameaças.

11. Evite clicar em links de e-mail, a menos que a fonte seja conhecida e confiável. Em caso de dúvida, digite o site na barra de pesquisa do navegador e acesse a página manualmente.

Claro, nem sempre as medidas de proteção mais rigorosas impedirão um ataque de ransomware. Quando o pior acontece, ainda existem algumas opções para mitigar as consequências desses ataques.

A ameaça contínua do ransomware como serviço

Ransomware é uma preocupação de cibersegurança por si só. Mas o modelo de negócios de ransomware como serviço transformou esse malware em uma ameaça muito maior, dando a mais cibercriminosos a capacidade de lançar esses ataques sem qualquer experiência ou conhecimento específico.

Devido às sérias implicações financeiras que esses ataques podem ter para as organizações ou indivíduos que são alvos, é importante entender os vários métodos de proteção de sistemas contra ataques de ransomware.

Muitos são práticas básicas de segurança cibernética, mas as organizações podem considerar esforços adicionais, como treinamento de segurança e backup regular em sistemas diferentes.