Techniki-atakow
ATAKI RANSOMWARE W MODELU RaaS - zagrożenie przyszłości
Czym jest Ransomware as a Service?
Ransomware as a Service (RaaS) to nowoczesny model cyberprzestępczości, który działa na zasadzie franczyzy. Twórcy złośliwego oprogramowania udostępniają swoją platformę mniej technicznym partnerom (afiliantom), którzy zajmują się dystrybucją ransomware i zbieraniem okupów. Model ten obniża poprzeczkę wejścia dla atakujących, którzy nie muszą posiadać zaawansowanych umiejętności programistycznych.
Jak działa model biznesowy RaaS?
Grupa przestępcza najpierw opracowuje lub nabywa oprogramowanie ransomware, a następnie rekrutuje podmioty stowarzyszone za pośrednictwem forów darknetowych lub Telegramu, inwestując nawet do 1 miliona USD w rekrutację. Deweloperzy oferują różne modele płatności: miesięczne subskrypcje, opłaty jednorazowe lub systemy podziału zysków. Po wdrożeniu, afilianci przeprowadzają ataki niezależnie, a jeśli okup zostanie zapłacony, zyski dzielone są między dewelopera a afiliantów.
Metody ataku
Atakujący zazwyczaj wysyłają wiadomości phishingowe z załącznikami zawierającymi ransomware. Po zainfektowaniu systemu, ransomware szyfruje krytyczne dane wraz z kopiami zapasowymi i żąda okupu, najczęściej w kryptowalutach. Nowoczesne grupy wykorzystują technikę potrójnego wymuszenia - oprócz szyfrowania danych grożą publikacją skradzionych informacji oraz atakami DDoS na infrastrukturę ofiar.
Jak się bronić?
Kluczowe metody obrony obejmują wdrożenie uwierzytelniania DMARC do weryfikacji nadawców email oraz filtrowanie DNS wykrywające komunikację ransomware z serwerami dowodzenia i kontroli (C2). Organizacje powinny regularnie tworzyć kopie zapasowe, edukować pracowników w zakresie phishingu oraz utrzymywać aktualne systemy zabezpieczeń, które mogą blokować transmisję złośliwego oprogramowania jeszcze przed infekcją.