Cyberprzestępcy stosują dość przewrotne podejście do Software-as-a-Service (SaaS) - nie dostarczają pakietów biurowych, systemów CRM, czy aplikacji do komunikacji, lecz kod złośliwego oprogramowania. W praktyce haker loguje się do portalu, gdzie tworzy własne konto, wprowadza szczegóły dotyczące rodzaju złośliwej aplikacji, jaką zamierza stworzyć i płaci za usługę w bitcoinach. Ceny zestawów są bardzo zróżnicowane i zaczynają się już od 40 dolarów miesięcznie, ale za rozwiązania najbardziej zaawansowane trzeba zapłacić nawet kilka tysięcy. To jedna część opłaty - druga, to prowizja pobierana przez operatora (zazwyczaj od 20-30%) od okupu zapłaconego przez ofiarę ataku.
Subskrybenci mogą liczyć na wsparcie dostawcy, wymieniać się informacjami na forach, a także korzystać z aktualizacji. Oferujący najbardziej zaawansowane usługi operatorzy posiadają własne portale, na których partnerzy mogą obserwować status infekcji, statystki dotyczące płatności, czy liczby zaszyfrowanych plików.
- RaaS otwiera ogromne możliwości przed napastnikami. Model ten obniża barierę wejścia dla początkujących hakerów. Nie trzeba mieć dużych umiejętności, aby zainicjować atak i zakończyć go sukcesem. Poza tym nakład włożony w zakup narzędzi jest niewielki w porównaniu z potencjalnymi zyskami czekającymi na napastników - mówi Michał Łabęcki z G DATA Software.
Szacuje się, że w Polsce średnia wysokość okupu żądanego przez napastników wynosi niespełna 700 tys. złotych. Gangi ransomware działają według podobnego modelu biznesowego, jak dostawcy systemów bezpieczeństwa IT. Jednak zasadnicza różnica polega na tym, że nawet aspirujący hakerzy mogą w stosunkowo krótkim czasie zarobić nieporównywalnie więcej niż doświadczeni resellerzy bądź integratorzy wdrażający systemy bezpieczeństwa IT. Dlatego RaaS cieszy się w środowisku cyberprzestępczym nieustającą popularnością.
RaaS prowadzi do demokratyzacji cyberprzestępczości. Osoby o dość skromnej wiedzy na temat włamań do sieci, czy tworzenia złośliwego oprogramowania, dzięki temu modelowi mogą przeprowadzać wyrafinowane ataki. Tym samym liczba napastników cały czas rośnie. Partnerzy czerpią zyski przy stosunkowo niewielkim nakładzie pracy, zaś operatorzy zwiększają zasięg swojego działania, i to bez bezpośredniego angażowania się w ataki. Przyczynia się to do zwiększenia rentowności cyberprzestępczości.
Poza tym operatorzy RaaS zmieniają charakter ataków. W ostatnim czasie nasiliły się incydenty, których ofiarą padają firmy, bądź instytucje posiadające znaczne ilości wrażliwych danych. Wówczas atakujący nie szyfrują plików, co zazwyczaj opóźnia pobranie okupu, lecz grożą upublicznieniem informacji. Taka taktyka wielokrotnie wymusza na instytucjach, w tym między innymi placówkach zdrowia, szybkie zapłacenie haraczu, aby uniknąć kompromitacji i konsekwencji prawnych.
Jak ochronić się przed Ransomware as a Service?
Przede wszystkim warto prowadzić działania wyprzedzające - szkolenia pracowników w zakresie cyberbezpieczeństwa. Nacisk należy położyć na rozpoznawanie podejrzanych wiadomości e-mail oraz linków. Dział IT powinien na bieżąco aktualizować oprogramowanie, co pozwala likwidować luki. Istotne jest też tworzenie i testowanie kopii zapasowych, by móc odzyskać dane bez płacenia okupu. Naturalnie kopie należy przechowywać off-line lub w oddzielnej sieci. Firmy powinny również powszechnie korzystać z rozwiązań takich, jak oprogramowanie antywirusowe z funkcją antyransomware, która chroni przed próbami zaszyfrowania przez przestępców zdjęć, dokumentów czy danych osobowych.
fot. informacja prasowa G DATA
Źródło: G DATA
