Программа-вымогатель как услуга (RaaS) становится все более популярным инструментом среди киберпреступников. Я расскажу, что такое RaaS и как вы можете не стать его жертвой.
Программа-вымогатель как услуга (Ransomware as a Service — RaaS) — это тип сервиса вредоносных программ, запускаемой преступниками для преступников. Настройки RaaS во многом похожи на традиционные модели «Программное обеспечение как услуга» (SaaS). Большая разница в том, что в данном случае программа представляет собой инструмент, используемый для преступной деятельности, в частности, для координации атак программ-вымогателей.
Программы-вымогатели — это тип вредоносного ПО, которое обычно шифрует файлы и папки на устройстве жертвы и требует выкупа в обмен на безопасное возвращение зашифрованных данных. Мы наблюдаем всплеск атак программ-вымогателей во многих регионах мира, вероятно, отчасти из-за доступности программ-вымогателей через RaaS.
В данной мы с вами подробнее рассмотрим, что такое RaaS и как он работает, включая несколько примеров. А также раскрываем основные шаги, которые вы можете предпринять, чтобы защитить себя от программ-вымогателей.
Что такое программа-вымогатель как услуга?
По самым скромным оценкам, общая сумма потерь от программ-вымогателей с середины 2019 по середину 2020 года составила более 1 миллиарда долларов. Средний размер выкупа в 2020 году составил 170 404 доллара. Успешные атаки программ-вымогателей могут принести злоумышленникам огромную прибыль. А использование RaaS может быть недорогим и относительно простым делом.
В то время как преступник может легко выполнить программу-вымогатель, разработка самой вредоносной программы требует технической смекалки и навыков. Это тип программного обеспечения, доступного для продажи в Интернете, обычно находится в даркнете. Разработчики создают программы-вымогатели и продают их для широкого использования.
Создатели рекламируют программное обеспечение для продажи, аналогично тому, как другие поставщики программного обеспечения продвигают законные услуги в открытой сети. Продавцы создают профессиональные веб-сайты, размещают рекламу в социальных сетях, размещают видеорекламу и технические документы и продвигают отзывы пользователей. Некоторые из них предоставляют круглосуточную техническую поддержку, форумы пользователей, документацию по поддержке и регулярные обновления.
Программы-вымогатели можно настраивать, и покупателям часто предоставляются элегантные интерфейсы, в которых они могут настраивать свои вредоносные программы. Некоторые панели мониторинга позволяют пользователям просматривать информацию о целях, например о том, где была запущена вредоносная программа, сколько файлов было зашифровано и сколько выкупов было заплачено.
Преступники, просматривающие варианты RaaS, могут получить специальные предложения и выбрать одну из различных моделей подписки. Они аналогичны предложениям традиционных поставщиков SaaS и могут принимать одну из следующих форм:
- Единовременная плата за лицензию: Предоставляет неограниченный доступ к услуге без будущих платежей.
- Ежемесячная ставка: покупатели платят фиксированную ежемесячную плату.
- Распределение прибыли: оператор получает долю прибыли от каждой успешной атаки, аналогично партнерской программе.
- Некоторые модели могут включать комбинацию типов оплаты. Например, участие в прибыли можно комбинировать с лицензионным платежом или ежемесячной оплатой.
В то время как некоторые модели RaaS позволяют менее опытным преступникам зарабатывать деньги на программах-вымогателях, многие провайдеры RaaS очень разборчивы в отношении филиалов, с которыми они работают. Разработчики создают вредоносное ПО, но их прибыль часто зависит от способности аффилированных лиц распространять его. Некоторые создатели внедряют жесткие процессы отбора, чтобы гарантировать, что они работают только с партнерами, которые принесут им хорошую прибыль.
Примеры программ-вымогателей как услуги
Было обнаружено множество различных типов RaaS. Операторы постоянно разрабатывают новое и более совершенное программное обеспечение. Ниже приведены некоторые примеры печально известных программ-вымогателей, которые распространяются через модель RaaS.
Egregor
Egregor — относительно новый RaaS. Операторы, разработавшие программу-вымогатель, управляют платежным сайтом, а филиалы взламывают корпоративные сети и развертывают вредоносное ПО. Сообщается, что Egregor работает по партнерской системе, при этом разработчики получают 20-30% выкупа, а остальная часть идет аффилированным лицам.
Считается, что Egregor, запущенный в сентябре 2020 года, был заменой Maze RaaS, который прекратил свою деятельность примерно в то же время.
За последний год атакам Egregor подверглись несколько французских организаций, в том числе Ouest France, Ubisoft и Gefco. Недавно во Франции было произведено несколько арестов в связи с вымогательством Egregor.
REvil
Сообщается, что разработчики REvil RaaS очень разборчивы в том, с кем они работают. Кандидаты на участие в программе должны подтвердить свой опыт взлома, прежде чем они будут приняты.
REvil имеет длинный список жертв, включая Travelex, Brown-Forman, Cyrus One и SeaChange International. Сообщается, что за год он принес разработчикам 100 миллионов долларов. Эта программа-вымогатель, по всей видимости, в значительной степени нацелена на компании юридического, страхового и сельскохозяйственного секторов.
REvil использует несколько иной способ зарабатывания денег на традиционных схемах вымогательства. Помимо требования выкупа в обмен на безопасное возвращение файлов, он также угрожает утечкой украденных данных и дальнейшим вымогательством жертв .
Группа REvil отвечает за самый крупный на сегодняшний день запрос на выкуп. В марте 2021 года он запросил 50 миллионов долларов у производителя электроники Acer.
Dharma
Dharma — это далеко не новость на сцене RaaS, и она работает с 2017 года. Она заменяет файлы с расширением .dharma. Требования выкупа Дхармы, как правило, находятся на более низком уровне по сравнению с другими RaaS, в среднем около 9000 долларов .
Провайдеры предлагают очень простой в использовании комплект, который позволяет менее опытным хакерам присоединиться к ним в качестве аффилированных лиц. Легкость входа может быть связана с меньшей полезной нагрузкой.
Cerber
Cerber — еще одна программа-вымогатель, предлагаемая как RaaS. Это вредоносное ПО имеет ряд каналов распространения, включая фишинговые электронные письма, вредоносную рекламу (рекламу, зараженную вредоносным ПО) и вредоносные веб-сайты. Обычно это работает по партнерской модели, когда партнеры получают 40-процентную скидку от суммы выкупа.
Другие операции RaaS включают Locky, LockBit, Goliath, Shark, Stampado, Encryptor, Jokeroo, Ragnarok, ProLock, CryLock и Nefilim.
Как можно защититься от RaaS?
Когда мы обсуждаем, как защититься от RaaS, мы, по сути, говорим о том, как защитить себя от программ-вымогателей.
Вот как остановить программу-вымогатель как услугу:
- Научитесь обнаруживать вредоносные электронные письма. Поскольку электронная почта является обычным средством распространения программ-вымогателей, важно ознакомиться с общими признаками вредоносных электронных писем, рекламы и сайтов. Золотое правило — никогда не нажимать на ссылку или вложение, если вы не уверены, что можете доверять источнику.
- Используйте надежный брандмауэр: брандмауэр может выступать в качестве вашей первой линии защиты и предотвращать проникновение определенных типов вредоносных программ в вашу систему.
- Купите надежное антивирусное программное обеспечение: антивирусное программное обеспечение будет отслеживать и блокировать известные угрозы, включая многие виды вымогателей.
- Обновляйте программное обеспечение: обновления обычно включают исправления безопасности, устраняющие уязвимости. Задержка обновлений может сделать вашу систему уязвимой.
- Поддерживайте актуальные резервные копии: рекомендуется хранить несколько резервных копий в разных местах. При определении частоты резервного копирования подумайте, сколько данных вы можете позволить себе потерять, например, стоимость часа, стоимость дня и т. д. Также важно протестировать резервные копии, чтобы убедиться, что данные можно получить.
Автор данной статьи — ведущий эксперт по компьютерной безопасности Владимир Безмалый
Комментарий Первого Заместителя директора Службы Экономической разведки Липихина Александра Аркадьевича: программы-вымогатели присутствуют в IT-сфере уже как минимум двадцать лет. Их версий и модификаций — великое множество. Попадаются на уловки компьютерных жуликов не только обыватели, но и вполне компетентные люди. Соглашаясь с экспертом, могу сказать о том, что «золотые правила» избежать встречи с любым вирусом-вымогателем полностью соответствуют общим правилам антивирусного поведения в сети. Необходимо не поддаваться на происки социальной инженерии: необходимо быть уверенным, что ссылка, на которую Вы нажимаете, пришла именно от вашего коллеги или друга.
«В частности, внимательно смотрите на командную строку браузера: известны случаи, когда в доменном имени символы подменялись на похожие, к примеру, не mail.ru, а rnail.ru... Согласитесь, в командную строку браузера мы смотрим крайне редко, при долгой работе за компьютером глаза «замыливаются» и пропустить намеренное изменение в строке — проще простого», — рассказывает Липихин. Более того, лицензионное антивирусное обеспечение, безусловно, необходимо, однако не следует уповать на него как на панацею. Лично мне дважды приходилось сталкиваться с работой скрытого кейлоггера, «склеенного» в одном случае с файлом *.pdf, а в другом случае — даже с файлом *.doc ! Это были прайс-листы, коммерческие предложения, в обоих случаях соответствующие интересам компаний. Внимание: ни в одном из этих случаев ни один лицензионный антивирус никак не отреагировал на вредоносный файл! Кроме того, конечно же, следует воздержаться от посещения игровых сайтов, порносайтов и иных ресурсов, содержащих контент сомнительного содержания. А самым идеальным решением является разделение ресурсов: для личных дел и переписок — один компьютер, для служебных — другой, и со служебного мы не читаем новости, не общаемся в личных соцсетях, не производим никаких других «развлекалочек». В конце концов, даже при мобильном ведении бизнеса носить с собой два ноутбука — не такая то и сложная задача.
И, разумеется, соглашусь с Владимиром Безмалым, резервное копирование — это наше все. Причем хранить резервные копии желательно в разных местах, к примеру, на внешнем носителе в другом помещении, и в облаке, в обоих местах желательно в архиве, закрытом длинным паролем. В конце концов, компьютер или жесткий диск могут «погибнуть» или быть утрачены/похищены, что с действиями вирусных программ совсем никак не связано. Увы, общечеловеческая безалаберность почти всегда дает основу забыть о необходимости резервного копирования, а забывать об этом никак нельзя. Берегите себя и свои данные.
Липихин Александр Аркадьевич, Первый заместитель директора Службы Экономической разведки.