O que é ransomware como serviço (RaaS)?
RaaS (Ransomware as a Service, Ransomware como Serviço) é um modelo de negócios entre operadores de ransomware e afiliados em que os afiliados pagam para lançar ataques de ransomware desenvolvidos pelos operadores. Pense no RaaS como uma variação do modelo de negócios de SaaS (Software as a Service, Software como Serviço).
Os kits de ransomware como serviço (RaaS) permitem que afiliados sem habilidade ou tempo para desenvolver sua própria variante de ransomware sejam capazes de utilizá-los de forma rápida e acessível. Eles são fáceis de encontrar na dark web, onde são anunciados da mesma forma que produtos são anunciados na Internet comum.
Um kit de RaaS pode incluir suporte 24 horas por dia, 7 dias por semana, ofertas combinadas, avaliações de usuários, fóruns e outras funcionalidades idênticas às oferecidas por provedores de SaaS legítimos. O preço dos kits de RaaS varia de US$ 40 por mês a vários milhares de dólares – quantias insignificantes, considerando que a exigência média de resgate em 2021 foi de US$ 6 milhões. Um ator de ameaças não precisa que todos os ataques sejam bem-sucedidos para enriquecer.
Como o modelo de ransomware como serviço (RaaS) funciona
A tabela abaixo descreve o papel que os operadores e afiliados desempenham no modelo de ransomware como serviço (RaaS):
| Operadores de ransomware como serviço (RaaS) | Afiliados de ransomware como serviço (RaaS) |
|---|---|
| Recrutam afiliados em fóruns | Vale a pena usar o ransomware Você concorda em pagar uma taxa de serviço por resgate coletado |
| Você dá aos afiliados acesso a um painel “crie seu próprio pacote de ransomware” Isso criará um painel dedicado de “Comando e Controle” para o afiliado rastrear o pacote | Mira vítimas Define exigências de resgate Configura mensagens do usuário pós-comprometimento |
| Compromete o ativo da vítima Maximiza a infecção através de técnicas “living-off-the-land” Executa o ransomware | |
| Configura um portal de pagamento para vítimas “Auxilia” os afiliados nas negociações com as vítimas | Comunicam-se com a vítima por meio de portais de bate-papo ou outros canais de comunicação |
| Gerenciam um website de vazamento de dados | Gerenciam chaves de descriptografia |
Existem 4 modelos comuns de receita de ransomware como serviço (RaaS):
1. Assinatura mensal por uma taxa fixa
2. Programas para afiliados seguem o mesmo modelo de taxa mensal mas, nesse caso, uma porcentagem dos lucros (normalmente 20-30%) vai para o desenvolvedor do ransomware
3. Taxa de licença única sem participação nos lucros
4. Pura participação nos lucros
Os operadores de ransomware como serviço (RaaS) mais sofisticados oferecem portais que permitem que seus assinantes vejam o status das infecções, o total de pagamentos, o total de arquivos criptografados e outras informações sobre seus alvos. Um afiliado pode simplesmente entrar no portal de ransomware como serviço (RaaS), criar uma conta, pagar com Bitcoin, inserir informações sobre o tipo de malware que deseja criar e clicar no botão enviar. Os assinantes podem ter acesso a suporte, comunidades, documentação, atualizações de funcionalidade e outros benefícios idênticos aos recebidos pelos assinantes de produtos legítimos de software como serviço (SaaS).
O mercado de ransomware como serviço (RaaS) é competitivo. Além dos portais de ransomware como serviço (RaaS), os operadores de ransomware como serviço (RaaS) realizam campanhas de marketing e possuem websites idênticas às campanhas e sites da sua empresa. Eles têm vídeos, white papers e são ativos no Twitter. O ransomware como serviço (RaaS) é um negócio, e um grande negócio: a receita total com ransomware em 2020 foi de cerca de US$ 20 bilhões, acima dos US$ 11,5 bilhões do ano anterior.
Alguns exemplos bem conhecidos de kits de ransomware como serviço (RaaS) incluem Locky, Goliath, Shark, Stampado, Encryptor e Jokeroo, mas há muitos outros e operadores de ransomware como serviço (RaaS) regularmente desaparecem, se reorganizam e ressurgem com variantes de ransomware mais novas e melhores.
Exemplos de ransomware como serviço (RaaS)
Hive
O Hive é um grupo de ransomware como serviço (RaaS) que se tornou popular em abril de 2022, quando atacou um grande número de clientes do Microsoft Exchange Server usando uma técnica pass-the-hash. As organização afetadas incluem empresas do mercado financeiro, organizações sem fins lucrativos, organizações de saúde, entre muitas outras. Em 26 de janeiro de 2023, o Departamento de Justiça dos Estados Unidos anunciou que interrompeu as operações do Hive apreendendo dois servidores back-end do grupo em Los Angeles, na Califórnia. Estima-se que o Hive fez mais de 1.500 vítimas em todo o mundo e obteve milhões de dólares como pagamento de resgate.
DarkSide
O DarkSide é uma operação de ransomware como serviço (RaaS) associada a um grupo de e-crimes rastreado pela CrowdStrike como CARBON SPIDER. Os operadores do DarkSide tradicionalmente se concentravam em máquinas Windows e recentemente expandiram suas operações para Linux, mirando ambientes corporativos que utilizam hipervisores VMware ESXi não corrigidos ou roubando credenciais do vCenter. Em 10 de maio, o FBI indicou publicamente que o incidente envolvendo a Colonial Pipeline foi feito com o ransomware DarkSide. Posteriormente, foi relatado que a Colonial Pipeline teve aproximadamente 100 GB de dados roubados de sua rede, e a organização teria pagado quase US$ 5 milhões a uma afiliada do DarkSide.
REvil
O REvil (também conhecido como Sodinokibi) foi identificado como o ransomware por trás de um dos maiores pedidos de resgate já registrados: US$ 10 milhões. Ele é vendido pelo grupo criminoso PINCHY SPIDER, que vende ransomware como serviço (RaaS) sob o modelo para afiliados e normalmente fica com 40% dos lucros.
Semelhante aos vazamentos iniciais do TWISTED SPIDER, o PINCHY SPIDER avisa as vítimas sobre o vazamento de dados planejado, geralmente por meio de uma postagem de blog em seu website de vazamento de dados (DLS) contendo dados de amostra como prova (veja abaixo), antes de liberar a maior parte dos dados após um determinado período. O REvil também fornecerá um link para a postagem do blog dentro da carta de resgate. O link exibe o vazamento para a vítima afetada antes de ser exposto ao público. Ao clicar o link, uma contagem regressiva será iniciada, o que fará com que o vazamento seja publicado quando o tempo acabar.
Dharma
O ataque do ransomware Dharma foi atribuído a um grupo de ameaças iraniano com motivação financeira. Esse ransomware como serviço (RaaS) está disponível na dark web desde 2016 e está associado principalmente a ataques de protocolo RDP (Remote Desktop Protocol). Invasores geralmente pedem entre 1 e 5 bitcoins de alvos em uma ampla gama de setores.
O Dharma não é controlado de forma central, ao contrário do REvil e outros kits de ransomware como serviço (RaaS).
As variantes do Dharma vêm de muitas fontes, e a maioria dos incidentes envolvendo o Dharam que a CrowdStrike identificou revelou uma correspondência de quase 100% entre os arquivos de amostra. As únicas diferenças encontradas envolviam as chaves de criptografia, e-mail de contato e alguns outros pontos que podem ser personalizadas por meio de um portal de ransomware como serviço (RaaS). Como os ataques envolvendo o Dharma são quase idênticos, o time de threat hunters não consegue usar um incidente para descobrir quem está por trás de um ataque com o Dharma e como eles operam.
LockBit
Em desenvolvimento desde pelo menos setembro de 2019, o LockBit está disponível como um ransomware como serviço (RaaS), anunciado para usuários que falam russo ou falantes de inglês com um fiador que fala russo. Em maio de 2020, um afiliado que utiliza o LockBit postou uma ameaça de vazamento de dados em um popular fórum criminoso em que os usuários falam russo:
Além da ameaça, o afiliado fornece provas, como uma captura de tela de um documento de exemplo encontrado nos dados da vítima. Após o fim do prazo, o afiliado costuma postar um link mega[.]nz para baixar os dados roubados da vítima. Este afiliado ameaçou publicar dados de pelo menos nove vítimas.
Pesquisa "Cenário do ransomware" da Crowdstrike
A CrowdStrike entrevistou 1.100 líderes globais de segurança sobre ransomware. Confira o que eles disseram.
Baixe agora
Como evitar ataques de ransomware como serviço (RaaS)
A recuperação de um ataque de ransomware é difícil e cara, portanto, a prevenção é a melhor solução. As etapas para evitar um ataque de ransomware como serviço (RaaS) são as mesmas utilizadas para evitar qualquer ataque de ransomware, porque um ransomware como serviço (RaaS) é apenas um ransomware empacotado para facilitar o uso por qualquer pessoa mal-intencionada:
- Implemente uma proteção de endpoint confiável e moderna que possa trabalhar com algoritmos avançados e funcione automaticamente em segundo plano, 24 horas por dia.
- Faça backups regulares e frequentes. Se um backup for feito apenas uma vez por semana, um ataque de ransomware pode custar uma semana inteira de trabalho.
- Faça vários backups e armazene-os em dispositivos separados em locais diferentes.
- Execute testes nos backups regularmente para garantir que eles possam ser recuperados.
- Tenha um programa rigoroso de correções para se proteger contra vulnerabilidades conhecidas e desconhecidas.
- Faça a segmentação da rede para impedir a proliferação no ambiente.
- Implemente proteção antiphishing avançada.
- Invista em treinamento de usuários e crie uma cultura de segurança.
Kurt Baker é o Diretor Sênior de Marketing de Produtos da Falcon Intelligence na CrowdStrike. Ele tem mais de 25 anos de experiência em cargos de liderança sênior, especializando-se em empresas de software emergentes. Tem experiência em inteligência de ciberameaças, análise de segurança, gerenciamento de segurança e proteção avançada contra ameaças. Antes de ingressar na CrowdStrike, Baker trabalhou em cargos técnicos na Tripwire e foi cofundador de startups em mercados que vão desde soluções de segurança empresarial até dispositivos móveis. É bacharel em Letras pela Universidade de Washington e agora mora em Boston, Massachusetts.
